【漏洞推送】CVE-2024-23897 文件读取漏洞(poc)
【漏洞推送】CVE-2024-23897 文件读取漏洞(poc)
原创 大竹 b1gpig信息安全 2024-11-01 18:34
Jenkins安全漏洞 CVE-2024-23897
CVE-2024-23897 是一个影响 Jenkins 的严重安全漏洞,主要特征如下:
漏洞概述
该漏
洞
存在于 Jenkins 的命令行界面(CLI)中,属于本地文件包含(LFI)漏洞,影响以下版本:
– Jenkins 2.441 及更早版本
- Jenkins LTS 2.426.2 及更早版本
漏洞详情
严重程度:
– CVSS 3.1 评分为 9.8,属于严重级别漏洞。
漏洞原理:
– 漏洞存在于 Jenkins CLI 的命令解析器中。
-
攻击者可以利用 “@” 字符后跟文件路径的方式,读取服务器上的任意文件。
-
即使是未经身份验证的攻击者,也能读取文件的前几行内容。
影响范围:
– 未认证用户可读取文件的部分内容。
-
具有只读权限的用户可读取完整文件内容。
-
可能导致敏感信息泄露,如密码、SSH 密钥和源代码。
修复建议
升级 Jenkins 至安全版本:
– 主分支升级至 2.442 或更高版本。
- LTS 分支升级至 2.426.3 或更高版本。
临时解决方案:
– 如无法立即升级,可禁用命令行界面功能。
获取poc
关注公众号回复以下字段,获得poc!
CVE-2024-23897
建议点击公众号右上角“三个点”,
将本公众号设置为星标
后期发布优质岗位不错过。
