Jenkins 出现严重漏洞，可导致代码执行攻击

发布于2023年3月10日2025年7月19日作者:cve-20

Jenkins 出现严重漏洞，可导致代码执行攻击

Ravie Lakshmanan 代码卫士 2023-03-09 17:39

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

开源自动化服务器 Jenkins 中存在两个严重漏洞（CVE-2023-27898和CVE-2023-27905），可导致攻击者在目标系统上执行代码。

这两个漏洞影响 Jenkins 服务器和Update Center，它们被Aqua公司统称为 ‘CorePlague”。Jenkins 2.319.2之前的版本均受影响。

Aqua公司在报告中指出，“利用这些漏洞可导致未认证攻击者在受害者Jenkins服务器上执行任意代码，有可能导致Jenkins服务器完全受陷。”这些漏洞是由Jenkins处理源自Update Center的可用插件方式不当造成的，因此可能导致威胁行动者上传具有恶意payload的插件，并触发跨站点脚本攻击。

报告还指出，“受害者在Jenkins服务器上打开‘可用插件管理器’时，就会触发XSS，从而导致攻击者在使用Script Console API的Jenkins Server上运行任意代码。”

由于XSS攻击也是存储型XSS攻击的一种，因此在无需安装插件甚至无需访问插件URL的情况下，也可触发该漏洞。令人担忧的是，这些漏洞也影响自托管的Jenkins服务器，甚至在无法从互联网中公开访问服务器的场景下也不例外，因为公开的Jenkins Update Center可“遭攻击者注入”。不过攻击的前提是，恶意插件与Jenkins服务器兼容且位于“可用插件管理器”页面的顶端。攻击者提到，可通过“上传描述中所内嵌的所有插件名称和流行关键字的插件”，或提交源自虚假实例的请求，人为地提高插件的下载次数来操纵。

研究人员在2023年1月24日将漏洞告知Jenkins 公司，后者已为 Update Center和服务器发布补丁。建议用户尽快将Jenkins服务器升级至最新可用版本。