企业官网建设流程全解析

做渲染的网站,商业网站域名,好发信息网-网站建设,大连市招标网公示CVSS评分#xff1a;8.8 CVE-2024-43044_ Jenkins agent connections 文件读取漏洞1. 漏洞介绍2. 漏洞危害3. 漏洞修复1. 漏洞介绍 Jenkins是基于Java开发的一种持续集成工具#xff0c;Jenkins Agent是Jenkins自动化架构中的组件#xff0c;Jenkins 可以通过部署在服务器等…CVSS评分8.8CVE-2024-43044_ Jenkins agent connections 文件读取漏洞1. 漏洞介绍2. 漏洞危害3. 漏洞修复1. 漏洞介绍Jenkins是基于Java开发的一种持续集成工具Jenkins Agent是Jenkins自动化架构中的组件Jenkins 可以通过部署在服务器等上的agent执行构建和部署任务。由于ClassLoaderProxy#fetchJar方法未对 agent 端的请求路径进行限制具有Agent/Connect权限的攻击者可通过Channel#preloadJarApi读取控制端上任意文件(包括配置文件、密码等)进一步利用可能导致攻击者通过读取敏感数据接管后台进而在目标服务器远程执行任意代码。漏洞利用介绍https://blog.convisoappsec.com/analysis-of-cve-2024-43044/漏洞利用脚本https://github.com/convisolabs/CVE-2024-43044-jenkins2. 漏洞危害要成功利用此漏洞攻击者需要获取对 Jenkins Agent/Connect 权限Agent 节点安全性远弱于 Controller成功利用该漏洞后攻击者可远程从控制器读取任意文件结合已泄露凭据或构建脚本/插件操作可能触发更严重的 RCE由于需要前置条件微步上只定义为中风险漏洞3. 漏洞修复漏洞已在下列版本中修复Jenkins 版本说明2.471Weekly 修复版本2.452.4LTS 修复版本2.462.1LTS 修复补丁回滚/调整在修改版本中添加了一个判断函数限制jarUrl只能为插件Jar包https://github.com/jenkinsci/jenkins/commit/3f54c41b40db9e4ae7afa4209bc1ea91bb9175c0