Jenkins任意文件读取漏洞 (CVE-2024-23897)通告
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
绿盟科技CERT监测到Jenkins发布安全公告,修复了Jenkins CLI中的一个任意文件读取漏洞(CVE-2024-23897)。攻击者可通过使用Jenkins 控制器进程的默认字符编码读取Jenkins上的任意文件,并实现任意代码执行。官方已发布新版本修复该漏洞,受影响的用户应尽快升级版本进行防护。
🎯
关键要点
-
绿盟科技CERT监测到Jenkins发布安全公告,修复了Jenkins CLI中的任意文件读取漏洞(CVE-2024-23897)。
-
攻击者可通过Jenkins控制器进程的默认字符编码读取任意文件,并实现任意代码执行。
-
Jenkins是一款基于Java开发的开源项目,用于持续集成和持续交付的自动化中间件。
-
受影响版本包括Jenkins <= 2.441和Jenkins LTS <= 2.426.2。
-
不受影响版本为Jenkins >= 2.442和Jenkins LTS >= 2.426.3。
-
官方已发布新版本修复漏洞,受影响用户应尽快升级。
-
若无法升级,可禁用Jenkins CLI或CLI端点与SSH端口作为临时缓解措施。
-
本安全公告不提供任何保证,使用者需自行承担后果,绿盟科技不承担责任。
➡️
