Jenkins安全警报：新的安全漏洞可允许代码执行攻击

Jenkins开源自动化服务器中披露了两个严重的安全漏洞，利用此漏洞可在目标系统上执行任何代码。这些漏洞被追踪为CVE-2023-27898和CVE-2023-27905，影响Jenkins服务器和更新中心，并被云安全公司Aqua统称为CorePlague。2.319.2之前所有版本的Jenkins都存在这个漏洞并可被利用。该公司在一份报告中说："利用这些漏洞可以让未经认证的攻击者在受害者的Jenkins服务器上执行任意代码，有可能导致Jenkins服务器完全被破坏“。这些漏洞是Jenkins处理更新中心的插件造成的，致使攻击者上传带有恶意有效载荷的插件并触发跨站脚本（XSS）攻击。Aqua说："一旦受害者在他们的Jenkins服务器上打开可用插件管理器，XSS就会被触发，允许攻击者利用脚本控制台API在Jenkins服务器上运行任意代码”。同时，这些漏洞也可能影响到托管的Jenkins服务器，甚至在服务器不能通过互联网公开 ………………………………