今天看啥  ›  专栏  ›  启明星辰安全简讯

【漏洞复现】Jenkins Remoting任意文件读取漏洞(CVE-2024-43044)

启明星辰安全简讯  · 公众号  ·  · 2024-09-02 17:56

文章预览

一、漏洞 概述 漏洞名称 Jenkins Remoting任意文件读取漏洞 CVE   ID CVE-2024-43044 漏洞类型 文件读取、RCE 发现时间 2024-08-08 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 Jenkins是一个开源的、提供持续集成服务(CI)的软件平台。Jenkins 使用 Remoting 库(通常为agent.jar或remoting.jar)实现控制器与代理之间的通信,该库允许代理从控制器加载类和类加载器资源,以便从控制器发送的 Java 对象(构建步骤等)可以在代理上执行。 8月8日,启明星辰集团VSRC监测到Jenkins中修复了一个任意文件读取漏洞(CVE-2024-43044),其CVSS评分为8.8,目前该漏洞的技术细节及PoC已公开。 Jenkins 多个受影响版本在Remoting库中存在任意文件读取漏洞,由于ClassLoaderProxy#fetchJar方法没有限制代理(agent)可以请求从控制器(c ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览