Jenkins 未授权文件读取漏洞(CVE-2024-23897)

这个漏洞使得攻击者只需要知道jenkins公开的服务地址即可轻易的拿到该服务器上任意文件内容,至少第1行的内容,危险程度可想而知了。。。更诡异的是,出了这个问题,找了半天也没明白jenkins搞的这个cli接口怎么关闭

更多信息参考:https://www.leavesongs.com/PENETRATION/jenkins-cve-2024-23897.html

验证工具
https://www.github.com/wjlin0/CVE-2024-23897/cmd/CVE-2024-23897

处理方法:
jenkins 升级到最新版本
影响版本:
Jenkins <= 2.441
Jenkins LTS <= 2.426.2

如果不需要cli功能可以直接禁止请求,如通过nginx反代的话可以在反代前面增加配置:

server{

...

    #禁止client-cli请求
    location /cli {
      return 403;
    }

...

}

版权属于:Joyber

本文链接:https://blog.qqvbc.com/default/965.html

转载时须注明出处及本声明

标签: none

添加新评论