[高危] Jenkins CLI 任意文件读取漏洞导致远程代码执行风险

最新推荐文章于 2024-07-26 23:56:21 发布
最新推荐文章于 2024-07-26 23:56:21 发布
阅读量1.1k 收藏 10
点赞数 10
分类专栏: Dev Toolbox 文章标签: jenkins 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43564241/article/details/135861045
版权
本文详细描述了JenkinsCLI中的一项高危漏洞,涉及到args4j库的安全问题,攻击者可能获取敏感文件并执行任意代码。文章提供了受影响范围、升级建议和缓解措施,包括禁用特定功能和升级到最新安全版本。
摘要由CSDN通过智能技术生成

文章目录

发现时间 2024-01-24 漏洞等级 高危

漏洞危害 (OSCS 描述)

Jenkins CLI 是 Jenkins 内置的命令行页面。
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等在 Jenkins 控制器中执行任意代码。
Jenkins 2.442, LTS 2.426.3 版本通过禁用命令解析器读取 @ 字符后文件路径的特性修复此漏洞。

影响范围和处置方案

影响范围处置方式处置方法
org.jenkins-ci.main:jenkins-core (-∞, 2.442)升级将 org.jenkins-ci.main:jenkins-core 升级至 2.442 及以上版本
缓解措施禁用Jenkins CLI:设置 Java 系统属性 hudson.cli.CLICommand.allowAtSyntax 为 true
jenkins (-∞, 2.442)升级将 jenkins 升级至 2.442 及以上版本
jenkins lts (-∞, 2.426.3)升级将组件 jenkins lts 升级至 2.426.3 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-nw0b-89j6
Bazinga bingo
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jenkins漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-13 1562
jenkins漏洞概述,Jenkins是一个开源软件项目,它是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。 3月9日,启明星辰VSRC监测到Jenkins官方发布安全公告,修复了Jenkins Server和Update Center中发现的2个跨站脚本漏洞(CVE-2023-27898和CVE-2023-27905,统称为“CorePlague”)。未经身份验证的威胁者可利用这些漏洞在受害者的 Jenkins Server上执
jenkins-cli:通过Jenkins CLI,您可以轻松管理Jenkins
01-30
快速开始詹金斯CLI Jenkins CLI使您可以轻松管理Jenkins。 无论您是插件开发人员,管理员还是普通用户,它都是为您量身定制的!产品特点多种詹金斯支持插件管理(列表,搜索,安装,上传) 作业管理(搜索,构建,...
[CVE-2024-23897]Jenkins CLI 任意文件读取漏洞导致远程代码执行漏洞
whoami
01-26 4162
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等在 Jenkins 控制器中执行任意代码Jenkins CLIJenkins 内置的命令行页面。
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4641
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
漏洞复现】Jenkins CLI 接口任意文件读取漏洞(CVE-2024-23897)
最新发布
网络安全从业者的学习笔记
07-26 539
Jenkins是一款基于JAVA开发的开源自动化服务器。 Jenkins使用`args4j`来解析命令行输入,并支持通过HTTP、WebSocket等协议远程传入命令行参数。在`args4j`中,用户可以通过@字符来加载任意文件,这导致攻击者可以通过该特性来读取服务器上的任意文件
漏洞分析|死磕Jenkins漏洞回显与利用效果
m0_46699477的博客
06-28 1316
本文以 Jenkins 反序列化漏洞作为优化案例,分享我们的解决漏洞问题的方式。
jenkins2.289.1版本远程命令执行漏洞
山兔的博客
11-13 2967
在网络安全行业中,有一种方法可以识别、定义和编目公开披露的漏洞。这种类型的标识称为CVE,代表常见漏洞和披露。分析后,为每个漏洞分配一个严重等级,称为 CVSS 分数,范围从 0 到 10,其中 0 表示信息,10 表示严重。这些分数取决于几个因素,其中一些是 CIA 的危害级别(机密性、完整性、可用性)、攻击复杂程度、攻击面的大小等。在计算机安全中,任意代码执行 (ACE) 是攻击者在目标计算机或目标进程中执行任意命令或代码的能力。[…]旨在利用此类漏洞的程序称为任意代码执行漏洞
漏洞复现】Jenkins CLI 任意文件读取漏洞(CVE-2024-23897)
qq_38073067的博客
01-30 1810
漏洞复现】Jenkins CLI 任意文件读取漏洞(CVE-2024-23897)
Jenkins CLI v0.0.31
12-08
为您提供Jenkins CLI下载,Jenkins CLI 可以帮忙你轻松地管理 Jenkins。不管你是一名插件开发者、管理员或者只是一个普通的 Jenkins 用户,它都是为你而生的!特性:支持多 Jenkins 实例管理插件管理(查看列表、...
Jenkins CLI-其他
06-12
Jenkins CLI 可以帮忙你轻松地管理 Jenkins。不管你是一名插件开发者、管理员或者只是一个普通的 Jenkins 用户,它都是为你而生的! 特性: 支持多 Jenkins 实例管理 插件管理(查看列表、搜索、安装、上传) 任务...
Jenkins CLI v0.0.34.zip
03-25
- `jenkins-cli.jar`:这是Jenkins CLI的可执行文件,通常通过Java运行。用户可以通过`java -jar jenkins-cli.jar`命令来启动,并根据需要传递不同的参数进行操作。 4. **Jenkins CLI命令**: Jenkins CLI支持...
Jenkins打包配置文件
03-11
Jenkins读取这个文件来驱动整个构建过程,包括拉取代码、编译、测试、部署等步骤。这种方式让构建逻辑更加清晰且易于维护。 总结来说,“Jenkins打包配置文件”主要是指对`/Users/用户名/.jenkins/jobs`目录的...
漏洞通告】 Jenkins CLI 任意文件读取漏洞
y995zq的博客
01-30 2074
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。Jenkins 有一个内置的命令行界面(CLI),可从脚本或 shell 环境访问 Jenkins。处理 CLI 命令时, Jenkins 使用args4j库解析 Jenkins 控制器上的命令参数和选项。
[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)
qq_45751902的博客
11-24 2149
拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码和一个存在的job。Jenkins的pipeline主要是通过一个配置文件或者job里面的pipeline脚本配置来设定每个job的步骤. pipeline定义了几乎所有要用到的流程, 比如执行shell, 存档, 生成测试报告, 发布报告等。
漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞
2401_84297265的博客
04-29 842
代码漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞
Jenkins】未授权访问漏洞
qq_50854662的博客
07-08 1828
Jenkins】未授权访问漏洞
Jenkins CLI 任意文件读取漏洞复现(CVE-2024-23897)
0xSec
01-26 2499
Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。 2024年1月,互联网公开了一个Jenkins任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全。
Jenkins CLI二次开发工具类
Dreamer的专栏
10-24 1394
使用jenkins-cli进行二次开发
Jenkins 出现严重漏洞,可导致代码执行攻击
smellycat000的专栏
03-09 1602
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源自动化服务器 Jenkins 中存在两个严重漏洞(CVE-2023-27898和CVE-2023-27905),可导致攻击者在目标系统上执行代码。这两个漏洞影响 Jenkins 服务器和Update Center,它们被Aqua公司统称为 ‘CorePlague"。Jenkins 2.319.2之前的版本均受影响。Aqua公司在报告中指出,“...
Jenkins 任意文件读取漏洞
07-12
这个漏洞发生在jenkins主控台插件管理功能中,攻击者如果能够利用该漏洞,可以构造恶意请求,导致Jenkins服务器从远程或本地文件系统读取未经授权的文件漏洞的原理是由于插件管理界面的一个设计缺陷,使得恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bazinga bingo

您的鼓励就是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值