Jenkins 出现严重漏洞,可导致代码执行攻击

最新推荐文章于 2024-05-31 11:19:49 发布
最新推荐文章于 2024-05-31 11:19:49 发布
阅读量1.5k 收藏
点赞数
文章标签: jenkins 运维
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515862&idx=2&sn=559cb44fa0529b875f5361b1112c5b60&chksm=ea948fbcdde306aaba8058c93f2a95d0d723359a0d01dee3fa2e873d99d65d6a7d5d0c5bdae4&scene=126&sessionid=0
版权

9e8abcce4fca0071fdd4cbee6c050377.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

开源自动化服务器 Jenkins 中存在两个严重漏洞(CVE-2023-27898和CVE-2023-27905),可导致攻击者在目标系统上执行代码。

这两个漏洞影响 Jenkins 服务器和Update Center,它们被Aqua公司统称为 ‘CorePlague"。Jenkins 2.319.2之前的版本均受影响。

Aqua公司在报告中指出,“利用这些漏洞可导致未认证攻击者在受害者Jenkins服务器上执行任意代码,有可能导致Jenkins服务器完全受陷。”这些漏洞是由Jenkins处理源自Update Center的可用插件方式不当造成的,因此可能导致威胁行动者上传具有恶意payload的插件,并触发跨站点脚本攻击。

报告还指出,“受害者在Jenkins服务器上打开‘可用插件管理器’时,就会触发XSS,从而导致攻击者在使用Script Console API的Jenkins Server上运行任意代码。”

由于XSS攻击也是存储型XSS攻击的一种,因此在无需安装插件甚至无需访问插件URL的情况下,也可触发该漏洞。令人担忧的是,这些漏洞也影响自托管的Jenkins服务器,甚至在无法从互联网中公开访问服务器的场景下也不例外,因为公开的Jenkins Update Center可“遭攻击者注入”。不过攻击的前提是,恶意插件与Jenkins服务器兼容且位于“可用插件管理器”页面的顶端。攻击者提到,可通过“上传描述中所内嵌的所有插件名称和流行关键字的插件”,或提交源自虚假实例的请求,人为地提高插件的下载次数来操纵。

研究人员在2023年1月24日将漏洞告知Jenkins 公司,后者已为 Update Center和服务器发布补丁。建议用户尽快将Jenkins服务器升级至最新可用版本。

3119aa549303a90ae481f3b5f7ebf124.png

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞

Jenkins 披露多个组件中的29个未修复0day

开源自动化服务器软件 Jenkins 被曝严重漏洞,可泄露敏感信息

开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击

原文链接

https://thehackernews.com/2023/03/jenkins-security-alert-new-security.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

be519dcb5e54dfbc087e1dec539e7eeb.jpeg

bc29106260c6f6e10bba0c34577dfec5.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   79919015f5552a9e83a150e38d95004e.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jenkins漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-13 1545
jenkins漏洞概述,Jenkins是一个开源软件项目,它是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。 3月9日,启明星辰VSRC监测到Jenkins官方发布安全公告,修复了Jenkins Server和Update Center中发现的2个跨站脚本漏洞CVE-2023-27898CVE-2023-27905,统称为“CorePlague”)。未经身份验证的威胁者可利用这些漏洞在受害者的 Jenkins Server上执
Jenkins跨站脚本漏洞
VoiceRoom的博客
03-09 790
CVE-2023-27898
Jenkins plugin manager 存在存储型XSS漏洞CVE-2023-27898
murphysec的博客
03-15 863
Jenkins是一款Java编写的集成工具。 该项目受影响版本存在存储型XSS漏洞。该漏洞是由于在呈现插件版本与Jenkins plugin manager版本不兼容的错误信息时没有进行转义。 攻击者可向Jenkins实例中配置的更新站点提供插件,当Jenkins实例加载插件时,错误信息处的JavaScript代码便会被浏览器执行
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4529
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
【护网必备】Jenkins综合漏洞的利用工具
最新发布
Fly_鹏程万里
05-31 380
CVE-2015-8103/CVE-2016-0788 Jenkins 反序列化远程代码执行 https://github.com/Medicean/VulApps/tree/master/j/jenkins/1。CVE-2024-23897 Jenkins CLI 接口任意文件读取漏洞 https://github.com/vulhub/vulhub/blob/master/jenkins/CVE-2024-23897。本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。
漏洞分析|死磕Jenkins漏洞回显与利用效果
m0_46699477的博客
06-28 1277
本文以 Jenkins 反序列化漏洞作为优化案例,分享我们的解决漏洞问题的方式。
jenkins2.289.1版本远程命令执行漏洞
山兔的博客
11-13 2925
在网络安全行业中,有一种方法可以识别、定义和编目公开披露的漏洞。这种类型的标识称为CVE,代表常见漏洞和披露。分析后,为每个漏洞分配一个严重等级,称为 CVSS 分数,范围从 0 到 10,其中 0 表示信息,10 表示严重。这些分数取决于几个因素,其中一些是 CIA 的危害级别(机密性、完整性、可用性)、攻击复杂程度、攻击面的大小等。在计算机安全中,任意代码执行 (ACE) 是攻击者在目标计算机或目标进程中执行任意命令或代码的能力。[…]旨在利用此类漏洞的程序称为任意代码执行漏洞
CVE-2019-1003000 Jenkins-PreAuth-RCE 复现过程1
08-04
在2019年,一个名为CVE-2019-1003000的安全漏洞被公开,允许未经身份验证的攻击执行远程代码,即所谓的预认证远程代码执行(PreAuth RCE)。这个漏洞的影响非常严重,因为它无需任何登录凭据即可利用。 漏洞复现...
99-web漏洞挖掘之未授权访问漏洞1
08-03
这种漏洞可能导致敏感信息泄露、重要功能被恶意操作,严重威胁企业的数据安全。在本文中,我们将深入探讨几种常见的未授权访问漏洞类型及其对企业的风险,以及相应的防御措施。 1. **Redis未授权访问**:Redis是一...
信息安全技术:Java反序列化漏洞.pptx
11-01
直到同年11月,FoxGlove Security的安全专家@breenmachine在一篇博客中详细解释了这个漏洞如何影响WebLogic、WebSphere、JBoss、Jenkins和OpenNMS等流行Java应用,使其面临远程代码执行的风险。 Apache Commons ...
代码安全扫描及服务技术方案.rar
09-06
通过使用专门的工具,可以分析源代码以识别潜在的安全问题,如SQL注入、跨站脚本攻击(XSS)、权限管理错误、缓冲区溢出等常见漏洞。这些工具通常使用预定义的规则库,称为安全编码标准,例如OWASP Top 10、CWE/SANS ...
Fortify SCA 19.zip
04-06
1. **静态代码分析**:通过扫描源代码,识别出可能导致安全问题的模式和结构,如SQL注入、跨站脚本攻击(XSS)、权限管理错误等。 2. **深度漏洞检测**:不仅检查已知的漏洞,还能检测新的、未知的漏洞类型,因为其...
Jenkins】未授权访问漏洞
qq_50854662的博客
07-08 1745
Jenkins】未授权访问漏洞
[CVE-2024-23897]Jenkins CLI 任意文件读取漏洞导致远程代码执行漏洞
whoami
01-26 4040
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等在 Jenkins 控制器中执行任意代码Jenkins CLI 是 Jenkins 内置的命令行页面。
Jenkins RCE 漏洞复现(CVE-2017-1000353、CVE-2018-1000861)
oiadkt的博客
09-21 1772
Jenkins 是软件测试过程中常用的一种持续构建的工具,Jenkins RCE 漏洞触发方式大致分为两种,一种使用 Jenkins CLI 触发,而另一种触发方式为 HTTP 请求触发。这里复现的 CVE-2017-1000353 与 CVE-2018-1000861 就是两种触发方式的代表。
CVE-2021-27905 Apache Solr SSRF漏洞
yyj1781572的博客
04-12 1363
Apache Solr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。该漏洞是由于Solr默认安装未开启身份验证,攻击者可未授权通过Config API修改配置,导致SSRF和任意文件读取。
[高危] Jenkins CLI 任意文件读取漏洞导致远程代码执行风险
weixin_43564241的博客
01-26 1088
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等。Jenkins 2.442, LTS 2.426.3 版本通过禁用命令解析器读取 @ 字符后文件路径的特性修复此漏洞
漏洞通告】 Jenkins CLI 任意文件读取漏洞
y995zq的博客
01-30 2038
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。Jenkins 有一个内置的命令行界面(CLI),可从脚本或 shell 环境访问 Jenkins。处理 CLI 命令时, Jenkins 使用args4j库解析 Jenkins 控制器上的命令参数和选项。
Jenkins未授权访问漏洞复现与 getshell 利用方法汇总
W小哥
09-23 6658
一、Jenkins介绍 1.1 什么是JenkinsJenkins是一个开源的、提供友好操作界面的持续集成(CI)工具,起源于Hudson(Hudson是商用的),主要用于持续、自动的构建/测试软件项目、监控外部任务的运行。Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。通常与版本管理工具(SCM)、构建工具结合使用。常用的版本控制工具有SVN、GIT,构建工具有Maven、Ant、Gradle。 1.2 Jenkins的功能 Jenkins是一个基于J
jenkins扫描代码执行测试类
11-03
根据提供的引用内容,我们可以知道Jenkins可以执行代码扫描,但是并没有提到如何执行测试类。一般来说,执行测试类需要在Jenkins中配置相应的构建步骤,例如使用Maven或Gradle构建工具来执行测试类。具体步骤如下: 1. 在Jenkins中创建一个新的构建任务。 2. 在构建任务的配置中,选择构建步骤为“Invoke top-level Maven/Gradle target”。 3. 在“Goals”中输入“test”。 4. 保存并运行构建任务,Jenkins将会执行测试类并输出测试结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值