原创文章,不得转载。
文章目录
-
- 漏洞成因
- 影响范围
- 检测工具
- 更多细节
漏洞成因
Jenkins CLI 接口存在任意文件读取漏洞(CVE-2024-23897)。该问题源于 args4j 库在解析文件名参数时,会将@符号后的字符串视为文件名并尝试读取文件,而且该功能默认处于启用状态。
影响范围
Jenkins weekly <= 2.441
Jenkins LTS <= 2.426.2
检测工具
1、项目地址:
https://github.com/charonlight/JenkinsExploitGUI
下载地址:
https://github.com/charonlight/JenkinsExploitGUI/releases/tag/v1.0
本文下载 jar 包:
输入以下命令运行应用程序:
java -jar "D:\Security\J