Jenkins任意文件读取漏洞分析（CVE-2024-23897）技术文档<\/h1>

1. 漏洞概述<\/h2>
漏洞编号<\/strong>：CVE-2024-23897
影响产品<\/strong>：Jenkins持续集成工具
漏洞类型<\/strong>：任意文件读取
威胁等级<\/strong>：高危
影响版本<\/strong>：Jenkins < 2.442 和 Jenkins LTS < 2.426.3
漏洞状态<\/strong>：官方已发布修复版本<\/p>

2. 漏洞描述<\/h2>
Jenkins是一个基于Java开发的开源持续集成工具。该漏洞存在于Jenkins内置的命令行界面(CLI)功能中，具体问题出在CLI命令解析器的expandAtFile<\/code>功能实现上。<\/p>
当处理CLI命令时，Jenkins使用args4j库解析命令参数和选项。攻击者可以通过特制的CLI参数利用此漏洞读取Jenkins服务器上的任意文件内容。<\/p>
3. 技术分析<\/h2> 3.1 漏洞成因<\/h3> 漏洞的根本原因在于CLI参数解析过程中对@<\/code>符号的处理不当：<\/p> 参数解析流程<\/strong>：<\/p> CLI参数传入main<\/code>函数<\/li> 调用parseArgument()<\/code>进行解析<\/li> 最终进入expandAtFiles()<\/code>函数处理<\/li> <\/ul> <\/li> 关键问题函数<\/strong> - expandAtFiles()<\/code>：<\/p> if<\/span> (<\/span>参数以@开头<\/span>)<\/span> {<\/span> <\/span><\/span> 将@后面的内容作为文件路径创建<\/span>File对象<\/span>;<\/span> <\/span><\/span> 读取该文件内容<\/span>;<\/span> <\/span><\/span> 将内容添加至<\/span>result中返回<\/span>;<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 攻击向量<\/strong>：由于CLI参数完全可控，攻击者可以构造以@<\/code>开头的参数指向任意文件路径。<\/p> <\/li> <\/ol> 3.2 漏洞利用条件<\/h3> 未认证场景<\/strong>：可以读取部分文件的有限行内容<\/li> 认证后场景<\/strong>（或目标Jenkins更改了默认"Security"配置）：可以读取任意文件<\/li> 进一步利用<\/strong>：结合其他功能可能导致任意代码执行<\/li> <\/ul> 4. 漏洞复现<\/h2> 4.1 复现环境<\/h3> 受影响版本的Jenkins（<2.442或LTS<2.426.3）<\/li> Jenkins CLI工具（jenkins-cli.jar）<\/li> <\/ul> 4.2 复现步骤<\/h3> 使用Jenkins CLI工具连接目标服务器<\/p> <\/li> 执行以下命令读取敏感文件（如master.key）：<\/p> java -jar jenkins-cli.jar -s http:\/\/目标服务器\/ who-am-i @\/var\/jenkins_home\/secrets\/master.key <\/span><\/span><\/code><\/pre><\/li> 观察返回结果中包含目标文件内容<\/p> <\/li> <\/ol> 4.3 典型可读取文件<\/h3> \/var\/jenkins_home\/secrets\/master.key<\/code><\/li> \/etc\/passwd<\/code><\/li> 其他系统敏感文件<\/li> <\/ul> 5. 修复方案<\/h2> 5.1 官方修复<\/h3> 升级至安全版本：<\/p> Jenkins >= 2.442<\/li> Jenkins LTS >= 2.426.3<\/li> <\/ul> 下载地址：https:\/\/www.jenkins.io\/download\/<\/p> 5.2 临时缓解措施<\/h3> 使用官方提供的脚本：<\/p> 删除CLI HTTP端点<\/li> 禁用SSH端口<\/li> 脚本地址：https:\/\/github.com\/jenkinsci-cert\/SECURITY-3314-3315<\/li> <\/ul> <\/li> 网络层面：<\/p> 限制对Jenkins控制器的网络访问<\/li> 禁用不必要的CLI功能<\/li> <\/ul> <\/li> <\/ol> 6. 漏洞影响评估<\/h2> 6.1 直接影响<\/h3> 敏感信息泄露（凭据、配置等）<\/li> 可能导致系统完全沦陷<\/li> <\/ul> 6.2 潜在风险<\/h3> 结合其他漏洞可能导致RCE<\/li> 破坏CI\/CD流程完整性<\/li> 供应链攻击入口点<\/li> <\/ul> 7. 参考资源<\/h2> 官方公告：Jenkins Security Advisory<\/li> 补丁分析：GitHub提交记录<\/li> CVE详情：https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-23897<\/li> <\/ol> 8. 附录<\/h2> 8.1 相关技术点<\/h3> Jenkins CLI工作原理<\/li> args4j库参数解析机制<\/li> Java文件读取安全实践<\/li> <\/ul> 8.2 检测方法<\/h3> 版本检查<\/li> 补丁验证<\/li> 流量分析（检测可疑的CLI请求）<\/li> <\/ul> 文档版本<\/strong>：1.0 最后更新<\/strong>：2024-01-26 作者<\/strong>：Le1a@threatbook 校验<\/strong>：jweny@threatbook<\/p>