CVE-2024-23897 文件读取漏洞(poc)

admin 2024年11月1日19:39:17评论61 views字数 556阅读1分51秒阅读模式

Jenkins安全漏洞 CVE-2024-23897

CVE-2024-23897 是一个影响 Jenkins 的严重安全漏洞,主要特征如下:

漏洞概述

该漏洞存在于 Jenkins 的命令行界面(CLI)中,属于本地文件包含(LFI)漏洞,影响以下版本:

  • Jenkins 2.441 及更早版本
  • Jenkins LTS 2.426.2 及更早版本

漏洞详情

严重程度:
  • CVSS 3.1 评分为 9.8,属于严重级别漏洞。

漏洞原理:

  • 漏洞存在于 Jenkins CLI 的命令解析器中。
  • 攻击者可以利用 "@" 字符后跟文件路径的方式,读取服务器上的任意文件。
  • 即使是未经身份验证的攻击者,也能读取文件的前几行内容。

影响范围:

  • 未认证用户可读取文件的部分内容。
  • 具有只读权限的用户可读取完整文件内容。
  • 可能导致敏感信息泄露,如密码、SSH 密钥和源代码。

修复建议

升级 Jenkins 至安全版本:

  • 主分支升级至 2.442 或更高版本。
  • LTS 分支升级至 2.426.3 或更高版本。

临时解决方案:

获取poc

关注公众号回复以下字段,获得poc!

CVE-2024-23897

建议点击公众号右上角“三个点”,

将本公众号设置为星标

后期发布优质岗位不错过。

CVE-2024-23897 文件读取漏洞(poc)

原文始发于微信公众号(b1gpig信息安全):【漏洞推送】CVE-2024-23897 文件读取漏洞(poc)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月1日19:39:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-23897 文件读取漏洞(poc)https://cn-sec.com/archives/3345051.html

发表评论

匿名网友 填写信息