Hvv 日记 威胁情报 8.14 Jenkins 远程代码执行漏洞（CVE-2024-43044）POC

文章预览

漏洞描述         受影响版本中，由于 ClassLoaderProxy#fetchJar 方法未对 agent 端的请求路径进行限制，具有Agent/Connect权限的攻击者可通过 Channel#preloadJar Api读取控制端上任意文件(包括配置文件、密码等)并接管后台，进而在目标服务器远程执行任意代码。         补丁版本限制 Channel#preloadJar 请求只能发送Jar文件，限制 agent 端从控制端主动请求文件修复此漏洞。 影响范围         jenkins@[2.470, 2.471)         jenkins@[2.462, 2.462.1)         jenkins@[2.452, 2.452.4) 修复方案         升级至 2.471 及以上版本、 2.462.1 及以上版本、 2.452.4 及以上版本 POC         https://github.com/HwMex0/CVE-2024-43044 漏洞列表 用友 U8-Cloud 系统 BusinessRefAction 存在 SQL 注入漏洞 泛微 e-office10 系统 schema_mysql .sql 敏感信息泄露漏洞 某短视频直播打赏系统任意文件读取漏洞 某 ………………………………