#头条讲真的#

快速导读：多个针对Jenkins的关键漏洞的概念验证（PoC）Exploits已经公开发布。Jenkins是一个广泛用于软件开发的开源自动化服务器。这些Exploits允许未经身份验证的攻击者读取任意文件并执行任意CLI命令。研究人员已报告有关漏洞的活动利用。

SonarSource的研究人员发现了Jenkins的一个关键漏洞，被标识为CVE-2024-23897。该漏洞允许具有特定权限的未经身份验证的攻击者从Jenkins服务器上的任意文件中读取数据。即使没有这些权限的攻击者仍然可以从文件中读取有限数量的行。该漏洞是由于Jenkins中args4j命令解析器的默认行为，当参数以“@”字符开头时，它会将文件内容扩展为命令参数。

另一个漏洞，被追踪为CVE-2024-23898，使攻击者能够通过诱使用户点击恶意链接来执行任意CLI命令。虽然现有的Web浏览器中的保护策略应该可以减轻这个风险，但对这些策略的普遍执行缺乏，使得这个漏洞仍然存在。

SonarSource向Jenkins安全团队报告了这些漏洞，并于2024年1月24日发布了修复程序。然而，由于关于这些漏洞的详细信息已经可获得，研究人员已经重现了一些攻击场景并创建了可工作的PoC Exploits。这些Exploits，特别是针对CVE-2024-23897的Exploits，已经得到验证并可以供攻击者使用。一些研究人员已经观察到野外活动，表明黑客已经开始利用这些漏洞。