免责声明 由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!

一、产品介绍

Jenkins是一个开源的、用java编写的持续集成和持续交付(CI/CD)工具。它被设计为一个简单的平台,用于自动化构建、测试和部署软件,以此来帮助开发团队加速软件开发过程,提高软件质量和减少人工操作。

二、漏洞描述

在Jenkins受影响版本中默认启用其CLI命令解析器的一个功能,特定的解析器功能expandAtFiles可将@参数中后跟文件路径的字符替换为文件内容,可能导致攻击者读取 Jenkins 控制器文件系统上的任意文件,或可以进一步利用该漏洞导致远程代码执行。

三、漏洞危害

导致攻击者读取 Jenkins 控制器文件系统上的任意文件,或可以进一步利用该漏洞导致远程代码执行。

四、影响范围

Jenkins <= 2.441

Jenkins <= LTS 2.426.2

五、环境搭建

下载链接:War Jenkins Packages

使用java -jar jenkins.war命令启动

精彩文章

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: