严重

Jenkins 安全漏洞

披露时间：

2024-01-25

更新时间：

2025-03-24

CT 编号

CT-1057933

CVE 编号

CVE-2024-23897

CNVD 编号

N/A

CNNVD 编号

CNNVD-202401-2204

原理分类

其他

漏洞评分

9.8

漏洞描述

Jenkins是Jenkins开源的一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建，部署和自动化任何项目。 Jenkins 2.441及之前版本、LTS 2.426.2及之前版本存在安全漏洞，该漏洞源于允许未经身份验证的攻击者读取Jenkins控制器文件系统。

漏洞危害

1、如果被攻击者利用，可导致服务器敏感信息泄漏。例如：/etc/passwd、/etc/shadow、/ect/hosts等；
2、如果被攻击者利用，可导致后台代码被下载；
3、如果被攻击者利用，可导致数据库被下载。

检测工具

远程检测工具下载

xpoc -r 419 -t http://xpoc.org

修复方法

将 Jenkins 每周更新至版本 2.442。
将 Jenkins LTS 更新至版本 2.426.3 或 2.440.1。
如果无法立即更新，可通过 Manage Jenkins >> Security 中的 SSH Server 配置，将 SSHD Port 设置为 Disable 以禁用 CLI。
访问官方 Jenkins 安全公告页面获取最新补丁：https://www.jenkins.io/security/advisory/

参考链接

http://packetstormsecurity.com/files/176839/Jenkins-2.441-LTS-2.426.3-CVE-2024-23897-Scanner.html

http://packetstormsecurity.com/files/176840/Jenkins-2.441-LTS-2.426.3-Arbitrary-File-Read.html

http://www.openwall.com/lists/oss-security/2024/01/24/6

https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314

https://www.sonarsource.com/blog/excessive-expansion-uncovering-critical-security-vulnerabilities-in-jenkins/

https://www.vicarius.io/vsociety/posts/the-anatomy-of-a-jenkins-vulnerability-cve-2024-23897-revealed-1

长亭百川云

长亭百川云

长亭百川云

长亭百川云

Jenkins 安全漏洞