Jenkins任意文件读取漏洞 (CVE-2024-23897)通告
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
绿盟科技CERT监测到Jenkins发布安全公告,修复了Jenkins CLI中的一个任意文件读取漏洞(CVE-2024-23897)。攻击者可通过使用Jenkins 控制器进程的默认字符编码读取Jenkins上的任意文件,并实现任意代码执行。官方已发布新版本修复该漏洞,受影响的用户应尽快升级版本进行防护。
🎯
关键要点
- 绿盟科技CERT监测到Jenkins发布安全公告,修复了Jenkins CLI中的任意文件读取漏洞(CVE-2024-23897)。
- 攻击者可通过Jenkins控制器进程的默认字符编码读取任意文件,并实现任意代码执行。
- Jenkins是一款基于Java开发的开源项目,用于持续集成和持续交付的自动化中间件。
- 受影响版本包括Jenkins <= 2.441和Jenkins LTS <= 2.426.2。
- 不受影响版本为Jenkins >= 2.442和Jenkins LTS >= 2.426.3。
- 官方已发布新版本修复漏洞,受影响用户应尽快升级。
- 若无法升级,可禁用Jenkins CLI或CLI端点与SSH端口作为临时缓解措施。
- 本安全公告不提供任何保证,使用者需自行承担后果,绿盟科技不承担责任。
➡️
