【威胁预警】Jenkins存在严重高危漏洞！

CVE-2024-23897

2024年1月25日，Jenkins发布存在严重漏洞，如果成功利用该漏洞，可能会导致远程代码执行RCE。

漏洞说明

该漏洞编号为CVE-2024-23897，问题存在于内置命令行界面CLI，Jenkins在处理CLI命令时使用args4j库来解析Jenkins控制器上的命令参数和选项，此命令解析器具有一项功能，可将参数中的@字符后跟文件路径替换为文件内容expandAtFiles。此功能默认启用，在Jenkins2.441及更早版本、LTS 2.426.2及更早版本未被禁用。

漏洞武器化

该漏洞很可能会被武器化，可读取包含加密密钥的二进制文件，虽然有一定的限制。Jenkins官方说明如果二进制文件内容可以被提取出来，可能会导致更多的安全问题：

远程执行代码
通过构建日志通过存储的跨站点脚本攻击远程执行代码
解密存储在Jenkins中的敏感信息
删除Jenkins中的任何项目

修复措施

安全研究员Yaniv Nizry发现并报告该漏洞，该漏洞已在Jenkins 2.442、LTS 2.426.3中通过禁用命令解析器功能修复。作为对应用修补程序的短期解决方法，建议关闭对CLI的访问。

往期Jenkins相关的高危漏洞：

CVE-2023-27898，CVE-2023-27905，这些漏洞可能导致在目标系统上执行代码。

相关链接：https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314