影响版本
Jenkins <= 2.441
Jenkins LTS <= 2.426.2
漏洞描述
Jenkins任意文件读取:CVE-2024-23897,它影响了Jenkins的内置命令行接口(CLI)。这个接口有一个功能,可以用@字符后跟文件路径来替换为文件内容。这样,攻击者可以利用这个功能来读取Jenkins控制器文件系统上的任意文件。
FOFA语句
icon_hash="81586312"
docker部署
docker pull jenkins/jenkins:2.426.2-lts
成功回显
python3 poc.py http://x.x.x.x:8080 /etc/passwd
修复建议
(1) Jenkins 2.442, LTS 2.426.3已禁用相关命令解析器特性。建议更新至这些版本以解决漏洞。
(2) 收入到内网,若在公网暴露可设置ACL仅允许可信IP进行访问