通过补丁分析Jenkins任意文件读取漏洞（CVE-2024-23897）

扫码领资料获网安教程文章来源: https://forum.butian.net/share/2752文章作者：jweny如有侵权请您联系我们，我们会进行删除并致歉通过补丁分析Jenkins任意文件读取漏洞（CVE-2024-23897）漏洞描述Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件项目可以进行持续集成。Jenkins 有一个内置的命令行界面（CLI），可从脚本或 shell 环境访问 Jenkins。处理 CLI 命令时， Jenkins 使用args4j库解析 Jenkins 控制器上的命令参数和选项。Jenkins处理CLI命令的命令解析器中的expandAtFile功能存在任意文件读取漏洞，未经身份认证的远程攻击者利用该漏洞可以读取部分文件的有限行内容，攻击者经过身份验证或目标Jenkins更改了默认”Security”配置可以通过该漏洞读取任意文件，攻击者进一步利用该漏洞 ………………………………