Jenkins安全漏洞 CVE-2024-23897
CVE-2024-23897 是一个影响 Jenkins 的严重安全漏洞,主要特征如下:
漏洞概述
该漏洞存在于 Jenkins 的命令行界面(CLI)中,属于本地文件包含(LFI)漏洞,影响以下版本:
- Jenkins 2.441 及更早版本
- Jenkins LTS 2.426.2 及更早版本
漏洞详情
- CVSS 3.1 评分为 9.8,属于严重级别漏洞。
漏洞原理:
- 漏洞存在于 Jenkins CLI 的命令解析器中。
- 攻击者可以利用 "@" 字符后跟文件路径的方式,读取服务器上的任意文件。
- 即使是未经身份验证的攻击者,也能读取文件的前几行内容。
影响范围:
- 未认证用户可读取文件的部分内容。
- 具有只读权限的用户可读取完整文件内容。
- 可能导致敏感信息泄露,如密码、SSH 密钥和源代码。
修复建议
升级 Jenkins 至安全版本:
- 主分支升级至 2.442 或更高版本。
- LTS 分支升级至 2.426.3 或更高版本。
临时解决方案:
- 如无法立即升级,可禁用命令行界面功能。
获取poc
关注公众号回复以下字段,获得poc!
CVE-2024-23897
建议点击公众号右上角“三个点”,
将本公众号设置为星标
后期发布优质岗位不错过。
原文始发于微信公众号(b1gpig信息安全):【漏洞推送】CVE-2024-23897 文件读取漏洞(poc)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论