漏洞描述 Jenkins 是由Java编写的开源持续集成工具,Remoting 库用来实现控制端和 agent 端之间的通信。 受影响版本中,由于 ClassLoaderProxy#fetchJar 方法未对 agent 端的请求路径进行限制,具有Agent/Connect权限的攻击者可通过 Channel#preloadJar Api读取控制端上任意文件(包括配置文件、密码等)并接管后台,进而在...
🥽 Jenkins是开源持续集成工具,其Remoting库用于实现控制端和agent端通信。在受影响版本中,ClassLoaderProxy#fetchJar方法未对agent端请求路径进行限制,这是漏洞产生的关键原因。
💥 具有Agent/Connect权限的攻击者,可通过Channel#preloadJar Api读取控制端上任意文件,包括配置文件、密码等,这将导致严重的安全问题。
😱 攻击者利用该漏洞接管后台后,可能会造成极大的危害,如获取敏感信息、破坏系统等。
漏洞描述 Jenkins 是由Java编写的开源持续集成工具,Remoting 库用来实现控制端和 agent 端之间的通信。 受影响版本中,由于 ClassLoaderProxy#fetchJar 方法未对 agent 端的请求路径进行限制,具有Agent/Connect权限的攻击者可通过 Channel#preloadJar Api读取控制端上任意文件(包括配置文件、密码等)并接管后台,进而在...
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑