美国网络安全和基础设施安全局 （CISA） 在其已知利用的漏洞目录中添加了一个 Jenkins 命令行界面 （CLI） 错误。

美国网络安全和基础设施安全局 （CISA） 在其已知利用漏洞 （KEV） 目录中添加了一个 Jenkins 命令行界面 （CLI） 路径遍历漏洞，该漏洞被跟踪为 CVE-2024-23897（CVSS 评分为 9.8）。

2024 年 1 月，研究人员警告说，针对最近披露的关键 Jenkins 漏洞 CVE-2024-23897 的几个概念验证 （PoC） 漏洞已经公开。

Jenkins 是最受欢迎的开源自动化服务器，由 CloudBees 和 Jenkins 社区维护。自动化服务器支持开发人员构建、测试和部署他们的应用程序，它在全球拥有数十万个活跃安装，拥有超过 100 万用户。

开源平台的维护者已经解决了九个安全漏洞，包括一个被追踪为 CVE-2024-23897 的严重漏洞，该漏洞可能导致远程代码执行 （RCE）。该漏洞是由Sonar的研究员Yaniv Nizry报告的，他撰写了对该问题的详细分析。

Jenkins 有一个内置的命令行界面 （CLI），用于从脚本或 shell 环境访问平台。开源软件使用 args4j 库来解析 Jenkins 控制器上的 CLI 命令参数和选项。分析器使用一种功能，该功能将参数中的“@”字符后跟文件路径替换为文件内容 （“expandAtFiles”）。此功能默认处于启用状态，Jenkins 2.441 及更早版本、LTS 2.426.2 及更早版本不会禁用它。

攻击者可以滥用Jenkins控制器进程的默认字符编码，读取控制器文件系统上的任意文件。

具有“Overall/Read”权限的攻击者可以读取整个文件，而没有该权限的攻击者可以读取文件的前三行，具体取决于 CLI 命令。

维护者指出，利用这个漏洞可以读取包含用于各种 Jenkins 功能的加密密钥的二进制文件，即使有一些限制。

受欢迎的网络安全研究员弗洛里安·罗斯（Florian Roth）警告说，已经发布了一些武器化的PoC漏洞。

研究员德国人费尔南德斯（German Fernandez）警告说，该漏洞遭到大规模利用，他查询了Shodan，发现了超过75000个面向互联网的实例。

根据约束性操作指令 （BOD） 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在截止日期之前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家还建议私营组织审查目录并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 9 月 9 日之前修复此漏洞。