免责声明 由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
一、产品介绍
Jenkins是一个开源的、用java编写的持续集成和持续交付(CI/CD)工具。它被设计为一个简单的平台,用于自动化构建、测试和部署软件,以此来帮助开发团队加速软件开发过程,提高软件质量和减少人工操作。
二、漏洞描述
在Jenkins受影响版本中默认启用其CLI命令解析器的一个功能,特定的解析器功能expandAtFiles可将@参数中后跟文件路径的字符替换为文件内容,可能导致攻击者读取 Jenkins 控制器文件系统上的任意文件,或可以进一步利用该漏洞导致远程代码执行。
三、漏洞危害
导致攻击者读取 Jenkins 控制器文件系统上的任意文件,或可以进一步利用该漏洞导致远程代码执行。
四、影响范围
Jenkins <= 2.441
Jenkins <= LTS 2.426.2
五、环境搭建
下载链接:War Jenkins Packages
使用java -jar jenkins.war命令启动
本文转载自: https://blog.csdn.net/m0_50797689/article/details/135862631
版权归原作者 0xOctober 所有, 如有侵权,请联系我们删除。
版权归原作者 0xOctober 所有, 如有侵权,请联系我们删除。