漏洞英文bug/【威胁预警】Jenkins存在严重高危漏洞!_新手白帽子知识点
CVE-2024-23897
2024年1月25日,发布存在严重漏洞,如果成功利用该漏洞,可能会导致远程代码执行RCE。
漏洞说明
该漏洞编号为CVE-2024-23897,问题存在于内置命令行界面CLI,在处理CLI命令时使用库来解析控制器上的命令参数和选项,此命令解析器具有一项功能,可将参数中的@字符后跟文件路径替换为文件内容。此功能默认启用,在.441及更早版本、LTS 2.426.2及更早版本未被禁用。
漏洞武器化
该漏洞很可能会被武器化,可读取包含加密密钥的二进制文件,虽然有一定的限制。官方说明如果二进制文件内容可以被提取出来,可能会导致更多的安全问题:
远程执行代码
通过构建日志通过存储的跨站点脚本攻击远程执行代码
解密存储在Jenkins中的敏感信息
删除Jenkins中的任何项目
修复措施
安全研究员Yaniv Nizry发现并报告该漏洞,该漏洞已在 2.442、LTS 2.426.3中通过禁用命令解析器功能修复。作为对应用修补程序的短期解决方法,建议关闭对CLI的访问。
往期相关的高危漏洞:
CVE-2023-27898,CVE-2023-27905,这些漏洞可能导致在目标系统上执行代码。
相关链接:https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
~
网络安全学习,我们一起交流
~