美国网络安全和基础设施安全局 （CISA） 在其已知利用的漏洞目录中添加了一个 Jenkins 命令行界面 （CLI） 错误。

美国网络安全和基础设施安全局 （CISA） 在其已知利用漏洞 （KEV） 目录中添加了一个 Jenkins 命令行界面 （CLI） 路径遍历漏洞，该漏洞被跟踪为 CVE-2024-23897（CVSS 评分为 9.8）。

2024 年 1 月，研究人员警告说，针对最近披露的关键 Jenkins 漏洞 CVE-2024-23897 的几个概念验证 （PoC） 漏洞已经公开。

Jenkins 是最受欢迎的开源自动化服务器，由 CloudBees 和 Jenkins 社区维护。自动化服务器支持开发人员构建、测试和部署他们的应用程序，它在全球拥有数十万个活跃安装，拥有超过 100 万用户。

开源平台的维护者已经解决了九个安全漏洞，包括一个被追踪为 CVE-2024-23897 的严重漏洞，该漏洞可能导致远程代码执行 （RCE）。该漏洞是由Sonar的研究员Yaniv Nizry报告的，他撰写了对该问题的详细分析。

Jenkins 有一个内置的命令行界面 （CLI），用于从脚本或 shell 环境访问平台。开源软件使用 args4j 库来解析 Jenkins 控制器上的 CLI 命令参数和选项。分析器使用一种功能，该功能将参数中的“@”字符后跟文件路径替换为文件内容 （“expandAtFiles”）。此功能默认处于启用状态，Jenkins 2.441 及更早版本、LTS 2.426.2 及更早版本不会禁用它。

攻击者可以滥用Jenkins控制器进程的默认字符编码，读取控制器文件系统上的任意文件。

具有“Overall/Read”权限的攻击者可以读取整个文件，而没有该权限的攻击者可以读取文件的前三行，具体取决于 CLI 命令。

维护者指出，利用这个漏洞可以读取包含用于各种 Jenkins 功能的加密密钥的二进制文件，即使有一些限制。

受欢迎的网络安全研究员弗洛里安·罗斯（Florian Roth）警告说，已经发布了一些武器化的PoC漏洞。

#Jenkins 中的此漏洞很严重 CVE-2024-23897

POC 已 https://t.co/nGtbf8fehdhttps://t.co/pzY0NSL5bA

报告中发布@SonarSource https://t.co/VNAUg2PDN8 pic.twitter.com/vbiWGmj47M

— 弗洛里安·罗斯 （@cyb3rops） January 26， 2024

文章原文链接:https://www.anquanke.com/post/id/299287