漏洞英文bug/【威胁预警】Jenkins存在严重高危漏洞!_新手白帽子知识点

最新推荐文章于 2024-06-16 17:47:36 发布
最新推荐文章于 2024-06-16 17:47:36 发布
阅读量141 收藏
点赞数 1
文章标签: 漏洞 命令 远程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saystan/article/details/139722755
版权

漏洞英文bug/【威胁预警】Jenkins存在严重高危漏洞!_新手白帽子知识点

jenkins漏洞_漏洞英文bug_sonarjenkins

CVE-2024-23897

2024年1月25日,发布存在严重漏洞,如果成功利用该漏洞,可能会导致远程代码执行RCE。

漏洞说明

该漏洞编号为CVE-2024-23897,问题存在于内置命令行界面CLI,在处理CLI命令时使用库来解析控制器上的命令参数和选项,此命令解析器具有一项功能,可将参数中的@字符后跟文件路径替换为文件内容。此功能默认启用,在.441及更早版本、LTS 2.426.2及更早版本未被禁用。

漏洞武器化

该漏洞很可能会被武器化,可读取包含加密密钥的二进制文件,虽然有一定的限制。官方说明如果二进制文件内容可以被提取出来,可能会导致更多的安全问题:

远程执行代码
通过构建日志通过存储的跨站点脚本攻击远程执行代码
解密存储在Jenkins中的敏感信息
删除Jenkins中的任何项目

修复措施

安全研究员Yaniv Nizry发现并报告该漏洞,该漏洞已在 2.442、LTS 2.426.3中通过禁用命令解析器功能修复。作为对应用修补程序的短期解决方法,建议关闭对CLI的访问。

往期相关的高危漏洞:

CVE-2023-27898,CVE-2023-27905,这些漏洞可能导致在目标系统上执行代码。

相关链接:https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314

~

网络安全学习,我们一起交流

~

程序员六七
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现】Jenkins CLI 任意文件读取漏洞(CVE-2024-23897)
qq_38073067的博客
01-30 1705
漏洞复现】Jenkins CLI 任意文件读取漏洞(CVE-2024-23897)
Jenkins跨站脚本漏洞
VoiceRoom的博客
03-09 792
CVE-2023-27898
Jenkins任意文件读取漏洞(CVE-2024-23897)复现
fly夏天的博客
01-30 1214
Jenkins任意文件读取漏洞(CVE-2024-23897)复现
[CVE-2024-23897]Jenkins CLI 任意文件读取漏洞导致远程代码执行漏洞
whoami
01-26 4066
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等在 Jenkins 控制器中执行任意代码Jenkins CLI 是 Jenkins 内置的命令行页面。
Jenkins 出现严重漏洞,可导致代码执行攻击
smellycat000的专栏
03-09 1584
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源自动化服务器 Jenkins存在两个严重漏洞(CVE-2023-27898和CVE-2023-27905),可导致攻击者在目标系统上执行代码。这两个漏洞影响 Jenkins 服务器和Update Center,它们被Aqua公司统称为 ‘CorePlague"。Jenkins 2.319.2之前的版本均受影响。Aqua公司在报告中指出,“...
nmap扫描到漏洞漏洞/漏洞分析 | Jenkins 未授权文件读取漏洞(CVE-2024-23897)_新手信息安全自学
最新发布
程序员六七的博客
06-16 223
Jenkins是一个流行的开源持续集成(CI)和持续交付(CD)工具,它可以帮助团队自动化软件开发中的各种任务和流程,从而提高效率和质量。
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
信息安全_数据安全_Hacking Jenkins !.pdf
08-22
知识点详解】 1. Jenkins简介 Jenkins 是一个广泛应用的持续集成和持续部署(CI/CD)服务。它允许开发者自动化构建、测试和部署软件,从而提高了开发效率和减少了错误。由于其开源、灵活和可扩展性,Jenkins 在...
AWVS/Acunetix Premium v24.1.24高级版漏洞扫描器
01-21
Acunetix Premium v24.1.24 高级版漏洞扫描器是一款专业的Web应用程序安全工具,专为确保企业级网站、Web应用程序及API的安全性而设计。这款扫描器通过自动化检测技术,帮助用户识别并管理各种网络安全威胁,以符合...
Jenkins Git client插件命令执行漏洞(CVE-2019-10392)1
08-04
Jenkins Git client插件命令执行漏洞(CVE-2019-10392)Jenkins Git client插件命令执行漏洞(CVE-2019-10
漏洞扫描工具Acunettix15.2版本
03-07
Acunetix是一款知名的自动化Web应用安全扫描工具,主要用于检测网站和Web应用程序中的安全漏洞。在15.2版本中,这款工具进一步提升了其功能性和用户体验,尤其对于中文环境的支持,使得更多的中国用户能够轻松使用。...
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4542
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)
qq_45751902的博客
11-24 2036
拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码和一个存在的job。Jenkins的pipeline主要是通过一个配置文件或者job里面的pipeline脚本配置来设定每个job的步骤. pipeline定义了几乎所有要用到的流程, 比如执行shell, 存档, 生成测试报告, 发布报告等。
Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞
smellycat000的专栏
08-04 855
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源 DevOps 平台 Jenkins 提醒用户,注意十几款插件中的未修复漏洞Jenkins 是领先的开源自动化服务器,提供数千个插件支持、部署和自动化项目。Jenkins 最新安全公告列出27个插件漏洞,其中5个漏洞高危漏洞,这些漏洞多数并未修复。五个严重漏洞在这五个高危漏洞中,第一个是位于 Coverity 插...
jenkins 漏洞集合 简介
热门推荐
whatday的专栏
06-04 1万+
目录 CVE-2015-8103 反序列化远程代码执行 CVE-2016-0788 Jenkins CI和LTS 远程代码执行漏洞 CVE-2016-0792 低权限用户命令执行 CVE-2016-9299 代码执行 CVE-2017-1000353 Jenkins-CI 远程代码执行 CVE-2018-1000110 用户枚举 CVE-2018-1000861 远程命令执行 CVE-2018-1999002 任意文件读取 CVE-2018-1000600 Jenkins GitHub 信
Jenkins远程代码执行漏洞
chaojixiaojingang
09-07 1534
1.资产查找 Fofa:title=”jenkins” 2.漏洞描述: Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台。Jenkins存在远程代码执行漏洞漏洞成因是Jenkins平台提供了一个界面给使用者检查自己的Pipeline脚本,使用GroovyClassLoader.parseClass()来检查Pipeline脚本语法的正确性,攻击者构造特定的代码造成远程代码执行,攻击者通过该漏洞可获取服务器完全...
Jenkins 远程代码执行漏洞(CVE-2017-1000353) 复现
YouthBelief的博客
11-25 4958
所有文章,仅供安全研究与学习之用,后果自负! Jenkins 远程代码执行漏洞(CVE-2017-1000353)Jenkins 远程代码执行漏洞(CVE-2017-1000353)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 Jenkins 远程代码执行漏洞(CVE-2017-1000353) 0x01 漏洞描述 Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交
jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
架构师小秘圈
05-14 5726
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可!一, 定位问题1.发现cpu异常,查看对应的进程信息[roo...
app_root 的值是:/home/jenkins/workspace/custom/Single_Cproject/PYTHON_testPytest/Single_C python 3 我希望处理后的路径是 /home/jenkins/workspace/custom/Single_Cproject/PYTHON_testPytest/
07-25
根据你提供的 `app_root` 值为 `/home/jenkins/workspace/custom/Single_Cproject/PYTHON_testPytest/Single_C`,你可以使用以下 Python 3 代码来获取处理后的路径: ```python import os app_root = "/home/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值