Jenkins开源:新的安全漏洞可允许代码执行攻击
💡
原文中文,约600字,阅读约需2分钟。
📝
内容提要
Jenkins开源自动化服务器发现两个严重的安全漏洞,可被利用执行任意代码,影响服务器和更新中心。Jenkins已发布补丁,建议用户更新到最新版本以减少风险。
🎯
关键要点
- Jenkins开源自动化服务器发现两个严重的安全漏洞,可能导致任意代码执行。
- 漏洞被追踪为CVE-2023-27898和CVE-2023-27905,影响所有2.319.2之前版本的Jenkins。
- 未经认证的攻击者可以利用这些漏洞在Jenkins服务器上执行任意代码,可能导致服务器完全被破坏。
- 漏洞源于Jenkins处理更新中心的插件,攻击者可上传恶意插件并触发跨站脚本(XSS)攻击。
- 一旦用户打开可用插件管理器,XSS攻击将被触发,攻击者可利用脚本控制台API执行任意代码。
- 这些漏洞也可能影响托管的Jenkins服务器,即使服务器不公开访问,公共更新中心也可能被攻击者注入。
- 攻击的前提是流氓插件与Jenkins服务器兼容,并显示在可用插件管理器页面上。
- Jenkins已发布补丁,建议用户更新到最新版本以减少潜在风险。
➡️
