Jenkins任意文件讀取漏洞預警（CVE-2024-23897）

2024-01-26

一、概要

近日，華為云關注到Jenkins官方發(fā)布安全公告，披露Jenkins特定版本中存在一處任意文件讀取漏洞（CVE-2024-23897）。Jenkins 有一個內置的命令行界面 (CLI)，可以從腳本或 shell 環(huán)境訪問 Jenkins。由于Jenkins使用 args4j 庫解析CLI命令參數(shù)的功能存在缺陷，攻擊者可利用該漏洞讀取Jenkins 控制器文件系統(tǒng)上的任意文件，并結合其他功能可能導致任意代碼執(zhí)行。目前漏洞POC已公開，風險較高。

此外，Jenkins官方更新的新版本中還修復了一個命令行跨站WebSocket劫持漏洞（CVE-2024-23898），Jenkins受影響版本不會對通過 CLI WebSocket 端點發(fā)出的請求執(zhí)行源進行驗證，從而導致跨站點 WebSocket 劫持 (CSWSH) 漏洞，攻擊者利用漏洞可以在 Jenkins 控制器上執(zhí)行 CLI 命令。

Jenkins是一個開源的、提供友好操作界面的持續(xù)集成(CI)工具。華為云提醒使用Jenkins的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314

https://www.openwall.com/lists/oss-security/2024/01/24/6

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

CVE-2024-23897：

Jenkins <= 2.441

Jenkins LTS <= 2.426.2

 

CVE-2024-23898：

2.217＞= Jenkins <=2.441

2.222.1＞= Jenkins LTS＜= 2.426.2

安全版本：

Jenkins 2.442

Jenkins LTS 2.426.3

四、漏洞處置

目前，官方已發(fā)布新版本修復了該漏洞，請受影響的用戶升級到安全版本：

https://www.jenkins.io/download/

注：修復漏洞前請將資料備份，并進行充分測試。