Jenkins跨站脚本漏洞

最新推荐文章于 2024-05-10 05:53:54 发布
最新推荐文章于 2024-05-10 05:53:54 发布
阅读量782 收藏
点赞数
分类专栏: cve 文章标签: jenkins 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/VoiceRoom/article/details/129428104
版权

一、漏洞概述

Jenkins是一个开源软件项目,它是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。

3月9日,启明星辰VSRC监测到Jenkins官方发布安全公告,修复了Jenkins Server和Update Center中发现的2个跨站脚本漏洞(CVE-2023-27898和CVE-2023-27905,统称为“CorePlague”)。未经身份验证的威胁者可利用这些漏洞在受害者的 Jenkins Server上执行任意代码,可能导致 Jenkins Serve被完全破坏,漏洞详情如下:

CVE-2023-27898:Jenkins Plugin Manager跨站脚本漏洞(高危)

Jenkins 2.270-2.393、LTS 2.277.1- 2.375.3在插件管理器中呈现错误消息,说明其与当前版本的Jenkins不兼容时,不会转义插件所依赖的 Jenkins 版本,可能导致受到存储型XSS漏洞攻击,威胁者可利用该漏洞向配置的更新站点提供插件,并

最低0.47元/天 解锁文章
VoiceRoom
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4408
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
Jenkins 出现严重漏洞,可导致代码执行攻击
smellycat000的专栏
03-09 1540
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源自动化服务器 Jenkins 中存在两个严重漏洞(CVE-2023-27898和CVE-2023-27905),可导致攻击者在目标系统上执行代码。这两个漏洞影响 Jenkins 服务器和Update Center,它们被Aqua公司统称为 ‘CorePlague"。Jenkins 2.319.2之前的版本均受影响。Aqua公司在报告中指出,“...
网络安全最新漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞(1),2024年最新2024年哔哩哔哩网络安全高级面试题及答案
最新发布
2401_84264610的博客
05-10 695
中给出了jetty的两种回显方式。这时我们就可以通过反射获取这个channel中的http属性,并通过传入http消息头中的某些字段进行读取传入的命令内容将其执行,并将执行结果在写入到响应包中,这样就完成了整个回显过程。上面我们已经绕过了CC链的黑名单限制,这时,我们就需要思考如何进行漏洞的利用效果,市面上的主流工具如vulhub给出的利用方式是通过jar包生成执行系统命令的序列化对象,但利用过程比较繁琐,无法便捷有效的展示漏洞利用效果。方法的利用链,从而绕过CC链的黑名单的限制,进行反序列化攻击。
Jenkins配置
xuecz1230的博客
08-16 1816
高通平台mipi读屏ID 第一步: 下面这个函数 return 1 uint8_t target_panel_auto_detect_enabled() 第二步: #define DISPLAY_MAX_PANEL_DETECTION 0 ==》 改成10 这个是最大检测次数 第三步: static int init_panel_data(struct panel_struct *...
Jenkins plugin manager 存在存储型XSS漏洞(CVE-2023-27898)
murphysec的博客
03-15 852
Jenkins是一款Java编写的集成工具。 该项目受影响版本存在存储型XSS漏洞。该漏洞是由于在呈现插件版本与Jenkins plugin manager版本不兼容的错误信息时没有进行转义。 攻击者可向Jenkins实例中配置的更新站点提供插件,当Jenkins实例加载插件时,错误信息处的JavaScript代码便会被浏览器执行。
Jenkins】未授权访问漏洞
qq_50854662的博客
07-08 1683
Jenkins】未授权访问漏洞
web应用漏洞.docx
07-05
1. DedeCMS carbuyaction.php 存储型跨站脚本漏洞:攻击者可以通过该漏洞注入恶意脚本。 四、文件包含漏洞 1. DedeCMS 5.7 SP1 /install/index.php 远程文件包含漏洞:攻击者可以通过该漏洞执行任意代码。 五、...
cve-2019-1003000-jenkins-rce-poc:Jenkins RCE概念证明:SECURITY-1266 CVE-2019-1003000(脚本安全),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明式)
02-05
SECURITY-1266 / CVE-2019-1003000(脚本安全性),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明性) 一种概念验证,允许具有“总体/读取”权限和“作业/配置”(以及可选的“作业/构建”)的...
yasuo:一种ruby脚本,可扫描网络上易受攻击且可利用的第三方Web应用程序
02-02
Yasuo是一个Ruby脚本,可扫描易受攻击的第三方Web应用程序。 在进行网络安全评估(内部,外部,redteam演出等)时,我们经常会遇到易受攻击的第三方Web应用程序或Web前端,这些漏洞使我们能够通过利用众所周知的...
weblogic10.3.6补丁(java反序列化漏洞更新步骤).docx
09-10
近日,Apache Commons Collections 等公共库被发现存在 Java 反序列化漏洞,WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 等主流中间件和框架均受到影响,攻击者利用该漏洞可以远程执行操作系统命令,入侵应用系统...
Python-app-DevSecOps-XSS:DevSecOps演示Jenkins管道的Python应用
03-08
具有XSS漏洞的Python Web应用程序项目存储库(OWASP Top 10) 免责声明:您将在计算机中安装易受攻击的应用程序! :fire: Python Web应用程序:八卦世界->跨站脚本(XSS)
漏洞通告】 Jenkins CLI 任意文件读取漏洞
y995zq的博客
01-30 1992
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。Jenkins 有一个内置的命令行界面(CLI),可从脚本或 shell 环境访问 Jenkins。处理 CLI 命令时, Jenkins 使用args4j库解析 Jenkins 控制器上的命令参数和选项。
CVE-2021-27905 Apache Solr SSRF漏洞
yyj1781572的博客
04-12 1318
Apache Solr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。该漏洞是由于Solr默认安装未开启身份验证,攻击者可未授权通过Config API修改配置,导致SSRF和任意文件读取。
DependencyCheck+Jenkins扫描JAVA第三方依赖(CVE)漏洞
u012280424的博客
09-26 3564
利用Jenkins使用DependencyCheck更新漏洞库到本地,然后DependencyCheck扫描扫描项目,得到一个json报告,然后再使用json报告填充我们的自定义模板,最后输出填充后的模板为漏洞报告。
[高危] Jenkins CLI 任意文件读取漏洞导致远程代码执行风险
weixin_43564241的博客
01-26 1058
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等。Jenkins 2.442, LTS 2.426.3 版本通过禁用命令解析器读取 @ 字符后文件路径的特性修复此漏洞
jenkins 漏洞集合 简介
热门推荐
whatday的专栏
06-04 1万+
目录 CVE-2015-8103 反序列化远程代码执行 CVE-2016-0788 Jenkins CI和LTS 远程代码执行漏洞 CVE-2016-0792 低权限用户命令执行 CVE-2016-9299 代码执行 CVE-2017-1000353 Jenkins-CI 远程代码执行 CVE-2018-1000110 用户枚举 CVE-2018-1000861 远程命令执行 CVE-2018-1999002 任意文件读取 CVE-2018-1000600 Jenkins GitHub 信
[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)
qq_45751902的博客
11-24 1961
拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码和一个存在的job。Jenkins的pipeline主要是通过一个配置文件或者job里面的pipeline脚本配置来设定每个job的步骤. pipeline定义了几乎所有要用到的流程, 比如执行shell, 存档, 生成测试报告, 发布报告等。
jenkins配置从节点,解决provided port:50000 is not reachable
weixin_44932817的博客
03-20 907
jenkins从节点部署,端口50000已映射,报provided port:50000 is not reachable,问题解决
jenkins 使用fortify
02-05
Fortify是一款静态代码分析工具,用于发现和修复软件中的安全漏洞和代码质量问题。 要在Jenkins中使用Fortify,可以按照以下步骤进行操作: 1. 安装Fortify插件:在Jenkins的插件管理页面中,搜索并安装Fortify...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值