Jenkins 服务器中发现严重漏洞 媒体

Jenkins 自动化服务器安全漏洞警告

重点摘要

Aqua 研究人员发现 Jenkins 开源自动化服务器受到了两项严重漏洞的影响。这两项漏洞被称为“CorePlague”，可能被利用来执行任意代码。有关报告指出，漏洞编号分别为 CVE202327898 和 CVE202327905，均源于 Jenkins 对更新中心插件的错误处理。这些漏洞的存在可能导致恶意 payload 插件的使用，从而引发跨站脚本攻击XSS。即便在没有安装插件的情况下，威胁行为者也能激活这些漏洞。即便是自托管的 Jenkins 服务器，包括不连接互联网的环境，也可能受到这些漏洞的攻击。

根据研究人员的说法：“一旦受害者在他们的 Jenkins 服务器上打开可用插件管理器，XSS 就会被触发，允许攻击者利用脚本控制台 API 在 Jenkins 服务器上执行任意代码。”为了修复这些漏洞，Jenkins 已经为所有版本早于 23192 的 Jenkins 服务器发布了补丁。

漏洞详情与影响

注意 如果你的 Jenkins 服务器版本在 23192 之前，请务必尽快升级以避免潜在风险。

这种漏洞的影响范围广泛，不仅影响在公共网络中运行的服务器，连自托管的服务器也要面临安全隐患。建议所有使用 Jenkins 的组织立即检查和更新其服务器，以降低被攻击的风险。

相关链接

确保采取适当措施来保护你的开发环境，避免遭受这些漏洞的影响。