关于Jenkins任意文件读取漏洞(CVE-2024-23897)的安全告知

时间:2024-02-08 15:24:19来源:信息安全部作者:梦之想科技

Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。

漏洞详情

Jenkins 有一个内置的命令行界面(CLI),可从脚本或 shell 环境访问 Jenkins。处理 CLI 命令时, Jenkins 使用args4j库解析 Jenkins 控制器上的命令参数和选项。

近日,Jenkins 处理 CLI 命令的命令解析器中的 expandAtFile 功能存在任意文件读取漏洞,未经身份认证的远程攻击者利用该漏洞可以读取部分文件的有限行内容,攻击者经过身份验证或目标 Jenkins 更改了默认 “Security” 配置可以通过该漏洞读取任意文件,攻击者进一步利用该漏洞并结合其他功能可能导致任意代码执行。

影响范围
Jenkins 版本<= 2.441
Jenkins 版本<= LTS 2.426.2

漏洞复现
image006.png

修复建议
目前该漏洞已经修复,受影响用户可升级到Jenkins 2.442、LTS 2.426.3。
下载链接:
https://www.jenkins.io/download/

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314