文章预览
一、漏洞 概述 漏洞名称 Jenkins Remoting任意文件读取漏洞 CVE ID CVE-2024-43044 漏洞类型 文件读取、RCE 发现时间 2024-08-08 漏洞评分 9.1 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 高 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Jenkins是一个开源的、提供持续集成服务(CI)的软件平台。Jenkins 使用 Remoting 库(通常为agent.jar或remoting.jar)实现控制器与代理之间的通信,该库允许代理从控制器加载类和类加载器资源,以便从控制器发送的 Java 对象(构建步骤等)可以在代理上执行。 8月8日,启明星辰集团VSRC监测到Jenkins中修复了一个任意文件读取漏洞(CVE-2024-43044),该漏洞的CVSS评分为9.1。 Jenkins 多个受影响版本在Remoting库中存在任意文件读取漏洞,由于ClassLoaderProxy#fetchJar方法没有限制代理(agent)可以请求从控制器(controller)文件系统读取的路径
………………………………