Jenkins开源:新的安全漏洞可允许代码执行攻击
原文中文,约600字,阅读约需2分钟。
📝
内容提要
Jenkins开源自动化服务器发现两个严重的安全漏洞,可被利用执行任意代码,影响服务器和更新中心。Jenkins已发布补丁,建议用户更新到最新版本以减少风险。
🎯
关键要点
-
Jenkins开源自动化服务器发现两个严重的安全漏洞,可能导致任意代码执行。
-
漏洞被追踪为CVE-2023-27898和CVE-2023-27905,影响所有2.319.2之前版本的Jenkins。
-
未经认证的攻击者可以利用这些漏洞在Jenkins服务器上执行任意代码,可能导致服务器完全被破坏。
-
漏洞源于Jenkins处理更新中心的插件,攻击者可上传恶意插件并触发跨站脚本(XSS)攻击。
-
一旦用户打开可用插件管理器,XSS攻击将被触发,攻击者可利用脚本控制台API执行任意代码。
-
这些漏洞也可能影响托管的Jenkins服务器,即使服务器不公开访问,公共更新中心也可能被攻击者注入。
-
攻击的前提是流氓插件与Jenkins服务器兼容,并显示在可用插件管理器页面上。
-
Jenkins已发布补丁,建议用户更新到最新版本以减少潜在风险。
🏷️
