news 2026/7/12 20:45:02

Jenkins RCE漏洞CVE-2024-23897:从任意文件读取到远程代码执行

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Jenkins RCE漏洞CVE-2024-23897:从任意文件读取到远程代码执行

Jenkins RCE via CVE-2024-23897

CVSS V3 详情

向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基础评分:9.8 严重

受影响版本

  • Jenkins 2.441 及更早版本
  • Jenkins LTS 2.426.2 及更早版本

漏洞存在原因

Jenkins 使用args4j库来解析 Jenkins 控制器上的命令行参数和选项。该命令解析器有一项名为expandAtFiles的功能,可以将参数中跟在@字符后的文件路径替换为文件内容。

该功能在Jenkins 2.441 及更早版本中默认启用,并且LTS 2.426.2 及更早版本也未禁用它。

此漏洞允许攻击者使用默认字符编码读取 Jenkins 控制器文件系统上的任意文件

  • 具有 Overall/Read 权限的攻击者可以读取整个文件。
  • 没有 Overall/Read 权限的攻击者可以读取文件的前几行,可读取的行数取决于可用的 CLI 命令。

不幸的是,此功能默认是启用的。

🔍概念验证 (POC) 扫描器
CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyH1rQE3BN8JChfA6+fPb89A2pneInP4A3ctSrWhemOCXeflV7TdJFpxSmuM30XI0E8=
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/6/26 1:52:04

2026年年初想转行网络安全,可以先看看过来人的建议

在当前就业形势下,不少朋友面临转行的困境。网络安全作为一个热门领域,自然也吸引了许多人的目光。本文将就转行网络安全这一话题,提供一些切实可行的建议。 网络安全行业概况 网络安全涵盖了从基础的脚本编写到高级的漏洞研究等多个层面。该…

作者头像 李华
网站建设 2026/7/4 5:52:45

光刻胶用抗氧化剂4,4-亚丁基-双(6-叔丁基间甲酚)BBM

4,4-亚丁基双(6-叔丁基间甲酚)1 化学特性与功能作用1.1 基本特性4,4’-亚丁基-双(6-叔丁基间甲酚)(简称BBM)是一种高效酚类抗氧化剂,其化学名称为4,4-Butylidenebis(6-tert-butyl-m-cresol),分子式为C₂₆H…

作者头像 李华
网站建设 2026/6/29 4:20:16

高效协作:工程团队与LLM共建可维护代码的标准化流程

在与LLM进行大量协作编程之后,我将坚持一种中等层次的工作流程,在完全自主编写代码和纯粹氛围式编程之间位于第38百分位。以下方法帮助我为长期项目产生高质量代码: • 学习新工具和架构:如果你计划长期使用这些工具,在…

作者头像 李华
网站建设 2026/7/5 4:33:27

必看收藏!有手就行!50分钟教会你用LoRA微调打造专业会议语音助手

文章详细介绍了使用LoRA微调技术对Qwen2.5-0.5B-Instruct模型进行微调,使其成为会议语音助手的完整流程。从环境配置、模型下载、数据准备到代码实现和测试验证,展示了即使在普通笔记本上也能完成微调训练。微调可增强模型特定领域的能力,减少…

作者头像 李华
网站建设 2026/7/10 18:38:35

深度学习框架EL2021数据集对光伏电池异常缺陷检测方法进行基准测试数据集YOLOV8模型如何训练红外光伏缺陷检测数据集 内部缺陷和异构背景的近红外图像

太阳能 光伏电池缺陷异常检测数据集PVELAD 河北工业大学、北京航空航天大学联合发布的——PVEL-AD 数据集又叫做EL2021数据集是用于对光伏电池异常缺陷检测方法进行基准测试的数据集。PVEL-AD包含 36,543 张具有各种内部缺陷和异构背景的近红外图像,其中包含1类无异…

作者头像 李华
网站建设 2026/7/11 19:58:58

基于Java的加油站销售积分管理系统的设计与实应用和研究

文章目录摘要项目简介大数据系统开发流程主要运用技术介绍爬虫核心代码展示结论源码文档获取定制开发/同行可拿货,招校园代理 :文章底部获取博主联系方式!摘要 随着加油站行业竞争的加剧,提升客户忠诚度成为企业发展的关键。基于Java的加油站…

作者头像 李华