【漏洞通告】Jenkins多个高危漏洞安全风险通告

近日，嘉诚安全监测到Jenkins中修复了一个任意文件读取漏洞（CVE-2024-43044）和一个未授权访问漏洞（CVE-2024-43045）。

Jenkins是一个开源的、提供持续集成服务（CI）的软件平台。Jenkins使用Remoting库（通常为agent.jar或remoting.jar）实现控制器与代理之间的通信，该库允许代理从控制器加载类和类加载器资源，以便从控制器发送的Java对象（构建步骤等）可以在代理上执行。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

1、CVE-2024-43044

Jenkins Remoting任意文件读取漏洞，经研判，该漏洞为高危漏洞。攻击者在获取agent权限后，可利用agent功能与Jenkins交互，从而读取Jenkins控制器文件系统上的任意文件，结合其他功能可能导致任意代码执行。

2、CVE-2024-43045

Jenkins未授权访问漏洞，经研判，该漏洞为高危漏洞。由于在HTTP 端点中缺少权限检查，可能导致具有相应权限的攻击者访问或更改其他用户的My Views。

影响版本：

Jenkins <= 2.470

Jenkins LTS <= 2.452.3

受影响组件：

Jenkins Remoting 版本<= 3256.v88a_f6e922152（3206.3208.v409508a_675ff和3248.3250.v3277a_8e88c9b_除外）

目前这些漏洞已经修复，受影响用户可升级到Jenkins 2.471、LTS 2.452.4、LTS 2.462.1或更高版本。

下载链接：

https://www.jenkins.io/download/

参考链接：

https://www.jenkins.io/security/advisory/2024-08-07/

https://github.com/jenkinsci/remoting

https://nvd.nist.gov/vuln/detail/CVE-2024-43044