Share
## https://sploitus.com/exploit?id=8725A9BD-B8C5-5474-91B8-DFDC568F5B91
# Jenkins 安全漏洞 CVE-2024-23897
CVE-2024-23897 是一个影响 Jenkins 的严重安全漏洞,主要特征如下:
## 漏洞概述
该漏洞存在于 Jenkins 的命令行界面(CLI)中,属于本地文件包含(LFI)漏洞,影响以下版本:
- Jenkins 2.441 及更早版本
- Jenkins LTS 2.426.2 及更早版本
## 漏洞详情
**严重程度:**
- CVSS 3.1 评分为 9.8,属于严重级别漏洞。
**漏洞原理:**
- 漏洞存在于 Jenkins CLI 的命令解析器中。
- 攻击者可以利用 "@" 字符后跟文件路径的方式,读取服务器上的任意文件。
- 即使是未经身份验证的攻击者,也能读取文件的前几行内容。
**影响范围:**
- 未认证用户可读取文件的部分内容。
- 具有只读权限的用户可读取完整文件内容。
- 可能导致敏感信息泄露,如密码、SSH 密钥和源代码。
## 修复建议
**升级 Jenkins 至安全版本:**
- 主分支升级至 2.442 或更高版本。
- LTS 分支升级至 2.426.3 或更高版本。
**临时解决方案:**
- 如无法立即升级,可禁用命令行界面功能。
## 参考资料
- [Jenkins 安全公告 2024-01-24](https://www.jenkins.io/security/advisory/2024-01-24/)
- [CVE-2024-23897 漏洞详情](https://nvd.nist.gov/vuln/detail/CVE-2024-23897)
- [CISA 已知漏洞目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)