Share
## https://sploitus.com/exploit?id=8725A9BD-B8C5-5474-91B8-DFDC568F5B91
# Jenkins 安全漏洞 CVE-2024-23897

CVE-2024-23897 是一个影响 Jenkins 的严重安全漏洞,主要特征如下:

## 漏洞概述

该漏洞存在于 Jenkins 的命令行界面(CLI)中,属于本地文件包含(LFI)漏洞,影响以下版本:

- Jenkins 2.441 及更早版本
- Jenkins LTS 2.426.2 及更早版本

## 漏洞详情

**严重程度:**

- CVSS 3.1 评分为 9.8,属于严重级别漏洞。

**漏洞原理:**

- 漏洞存在于 Jenkins CLI 的命令解析器中。
- 攻击者可以利用 "@" 字符后跟文件路径的方式,读取服务器上的任意文件。
- 即使是未经身份验证的攻击者,也能读取文件的前几行内容。

**影响范围:**

- 未认证用户可读取文件的部分内容。
- 具有只读权限的用户可读取完整文件内容。
- 可能导致敏感信息泄露,如密码、SSH 密钥和源代码。

## 修复建议

**升级 Jenkins 至安全版本:**

- 主分支升级至 2.442 或更高版本。
- LTS 分支升级至 2.426.3 或更高版本。

**临时解决方案:**

- 如无法立即升级,可禁用命令行界面功能。

## 参考资料

- [Jenkins 安全公告 2024-01-24](https://www.jenkins.io/security/advisory/2024-01-24/)
- [CVE-2024-23897 漏洞详情](https://nvd.nist.gov/vuln/detail/CVE-2024-23897)
- [CISA 已知漏洞目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)