【风险通告】Jenkins存在任意文件读取漏洞(CVE-2024-23897)

admin 2024年1月26日06:45:27评论137 views字数 966阅读3分13秒阅读模式

【风险通告】Jenkins存在任意文件读取漏洞(CVE-2024-23897)

漏洞概述

漏洞名称

Jenkins存在任意文件读取漏洞

危害等级

严重

CVSS3.1评分

9.8

CVE编号

CVE-2024-23897

CNVD编号

未分配

CNNVD编号

未分配

安恒CERT编号

DM-202401-002896

POC情况

未发现

EXP情况

未发现

在野利用

未发现

研究情况

分析中

危害描述

未经身份验证的攻击者能够利用该漏洞读取Jenkins控制器文件系统上的任意文件。

该产品主要使用客户行业分布广泛,漏洞危害性相对较高,建议客户尽快做好自查及防护。

漏洞信息

漏洞描述

Jenkins 是一个开源的自动化服务器软件,用于构建、测试和部署软件项目。它提供了一种强大的方式来自动化软件开发和交付流程,以提高开发团队的效率和生产力。

应急响应等级:1级

漏洞类型:任意文件读取、远程代码执行

影响范围

影响版本:

Jenkins <=2.441

Jenkins <=LST2.426.2

安全版本:

Jenkins >2.441

Jenkins >LST2.426.2

CVSS向量

访问途径(AV):网络

攻击复杂度(AC):低

所需权限(PR):无需任何权限

用户交互(UI):不需要用户交互

影响范围(S):不变

机密性影响(C):高

完整性影响(l):高

可用性影响(A):高

网络空间资产测绘

根据安恒Sumap全球网络空间资产测绘近三个月数据显示,相关资产主要分布在美国、中国和德国等国家,其中国内资产31338。建议客户尽快做好资产排查

建议客户尽快做好资产排查。

【风险通告】Jenkins存在任意文件读取漏洞(CVE-2024-23897)

修复方案

官方修复方案

官方已发布修复方案,受影响的用户建议更新至安全版本

https://www.jenkins.io/download/

临时缓解方案:

禁用Jenkins CLI:设置Java系统属性hudson.cli.CLICommand.allowAtSyntax 为 true

参考资料

http://www.openwall.com/lists/oss-security/2024/01/24/6

https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314

技术支持

如有漏洞相关需求支持请联系400-6777-677获取相关能力支撑。

原文始发于微信公众号(安恒信息CERT):【风险通告】Jenkins存在任意文件读取漏洞(CVE-2024-23897)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月26日06:45:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【风险通告】Jenkins存在任意文件读取漏洞(CVE-2024-23897)https://cn-sec.com/archives/2431570.html

发表评论

匿名网友 填写信息