Jenkins 出现严重漏洞,可导致代码执行攻击

9e8abcce4fca0071fdd4cbee6c050377.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

开源自动化服务器 Jenkins 中存在两个严重漏洞(CVE-2023-27898和CVE-2023-27905),可导致攻击者在目标系统上执行代码。

这两个漏洞影响 Jenkins 服务器和Update Center,它们被Aqua公司统称为 ‘CorePlague"。Jenkins 2.319.2之前的版本均受影响。

Aqua公司在报告中指出,“利用这些漏洞可导致未认证攻击者在受害者Jenkins服务器上执行任意代码,有可能导致Jenkins服务器完全受陷。”这些漏洞是由Jenkins处理源自Update Center的可用插件方式不当造成的,因此可能导致威胁行动者上传具有恶意payload的插件,并触发跨站点脚本攻击。

报告还指出,“受害者在Jenkins服务器上打开‘可用插件管理器’时,就会触发XSS,从而导致攻击者在使用Script Console API的Jenkins Server上运行任意代码。”

由于XSS攻击也是存储型XSS攻击的一种,因此在无需安装插件甚至无需访问插件URL的情况下,也可触发该漏洞。令人担忧的是,这些漏洞也影响自托管的Jenkins服务器,甚至在无法从互联网中公开访问服务器的场景下也不例外,因为公开的Jenkins Update Center可“遭攻击者注入”。不过攻击的前提是,恶意插件与Jenkins服务器兼容且位于“可用插件管理器”页面的顶端。攻击者提到,可通过“上传描述中所内嵌的所有插件名称和流行关键字的插件”,或提交源自虚假实例的请求,人为地提高插件的下载次数来操纵。

研究人员在2023年1月24日将漏洞告知Jenkins 公司,后者已为 Update Center和服务器发布补丁。建议用户尽快将Jenkins服务器升级至最新可用版本。

3119aa549303a90ae481f3b5f7ebf124.png

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞

Jenkins 披露多个组件中的29个未修复0day

开源自动化服务器软件 Jenkins 被曝严重漏洞,可泄露敏感信息

开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击

原文链接

https://thehackernews.com/2023/03/jenkins-security-alert-new-security.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

be519dcb5e54dfbc087e1dec539e7eeb.jpeg

bc29106260c6f6e10bba0c34577dfec5.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   79919015f5552a9e83a150e38d95004e.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值