信息技术中心
Jenkins任意文件读取漏洞预警(CVE-2024-23897)
信息来源:信息技术中心 作者:邹国忠 时间:2024-01-30 11:35 阅读次数: 发布:网络信息安全

一、概要

近日,基地政务云安全运维团队关注到Jenkins官方发布安全公告,披露Jenkins特定版本中存在一处任意文件读取漏洞(CVE-2024-23897)。Jenkins 有一个内置的命令行界面 (CLI),可以从脚本或 shell 环境访问 Jenkins。由于Jenkins使用 args4j 库解析CLI命令参数的功能存在缺陷,攻击者可利用该漏洞读取Jenkins 控制器文件系统上的任意文件,并结合其他功能可能导致任意代码执行。目前漏洞POC已公开,风险较高。

此外,Jenkins官方更新的新版本中还修复了一个命令行跨站WebSocket劫持漏洞(CVE-2024-23898),Jenkins受影响版本不会对通过 CLI WebSocket 端点发出的请求执行源进行验证,从而导致跨站点 WebSocket 劫持 (CSWSH) 漏洞,攻击者利用漏洞可以在 Jenkins 控制器上执行 CLI 命令。

Jenkins是一个开源的、提供友好操作界面的持续集成(CI)工具。基地政务云提醒使用Jenkins的用户及时安排自检并做好安全加固。

参考链接:

https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314

https://www.openwall.com/lists/oss-security/2024/01/24/6

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、 影响范围

影响版本:

CVE-2024-23897

Jenkins <= 2.441

Jenkins LTS <= 2.426.2

CVE-2024-23898

2.217= Jenkins <=2.441

2.222.1= Jenkins LTS= 2.426.2

安全版本:

Jenkins 2.442

Jenkins LTS 2.426.3

四、安全建议

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:

https://www.jenkins.io/download/

上一条:Rust 命令注入漏洞预警(CVE-2024-24576) 下一条:Apache Struts 2远程代码执行漏洞预警(CVE-2023-50164)

  • 企业微信号

  • 学校公众号

  • 事业单位
  • 网警