漏洞详情
2024年1月25日,启明星辰金睛安全研究团队监控到Jenkins任意文件读取漏洞(CVE-2024-23897)情报,未经身份验证的攻击者可利用该漏洞读取部分文件内容,经过身份验证的攻击者或目标Jenkins更改了默认”Security”配置的情况下,可通过该漏洞读取任意文件。该漏洞利用方式简单,危害较大。
漏洞复现截图
1、关闭匿名用户具有可读权限后,无法读取文件。
2、经过验证用户的可以读取所有文件内容。
3、未经验证的用户可以读取部分内容。
影响版本
version <= TLS 2.426.2
version <= 2.441
修复建议
1、官方修复方案:
通过官网下载不受影响的版本https://www.jenkins.io/download/
2、临时修复方案:
使用防护类设备对相关资产进行防护
避免相关资产暴露到公网中
禁用cli访问,参考
https://github.com/jenkinsci-cert/SECURITY-3314-3315/
启明星辰解决方案
天阗入侵检测与管理系统、天阗超融合检测探针(CSP)、天阗威胁分析一体机(TAR)、天清入侵防御系统(IPS)、天清Web应用安全网关(WAF)等均可有效检测和防护该漏洞造成的攻击风险。
•
END
•
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...