【漏洞复现】Jenkins Remoting任意文件读取漏洞（CVE-2024-43044）

文章预览

一、漏洞 概述 漏洞名称 Jenkins Remoting任意文件读取漏洞 CVE   ID CVE-2024-43044 漏洞类型 文件读取、RCE 发现时间 2024-08-08 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 Jenkins是一个开源的、提供持续集成服务（CI）的软件平台。Jenkins 使用 Remoting 库（通常为agent.jar或remoting.jar）实现控制器与代理之间的通信，该库允许代理从控制器加载类和类加载器资源，以便从控制器发送的 Java 对象（构建步骤等）可以在代理上执行。 8月8日，启明星辰集团VSRC监测到Jenkins中修复了一个任意文件读取漏洞（CVE-2024-43044），其CVSS评分为8.8，目前该漏洞的技术细节及PoC已公开。 Jenkins 多个受影响版本在Remoting库中存在任意文件读取漏洞，由于ClassLoaderProxy#fetchJar方法没有限制代理（agent）可以请求从控制器（c ………………………………