CVE-2024-23897 Jenkins 任意文件读取漏洞

项目介绍

Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件项目可以进行持续集成。Jenkins是开源CI&CD软件领导者，提供超过1000个插件来支持构建、部署、自动化，满足任何项目的需要。

Jenkins 有一个内置的命令行界面CLI，在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能，可以将@参数中后跟文件路径的字符替换为文件内容 ( expandAtFiles)。

根据Jenkins 官方描述，具有Overall/Read权限的攻击者可以读取整个文件，未授权的攻击者仅能读取文件前几行内容。攻击者可以通过读取jenkins文件获取相关密钥从而实现命令执行。

此功能默认启用，Jenkins 2.441 及更早版本、LTS 2.426.2 及更早版本默认不会禁用它。鉴于漏洞 exp 已公开，为避免您的资产受到影响，建议尽快安排修复升级方案。

<= Jenkins 2.441、<= LTS 2.426.2

1、下载漏洞版本的jenkins

2、运行命令

java -jar jenkins.war --httpPort=8080

1、下载jenkins-cli.jar，CLI 客户端可以直接在Jenkins主机下载

2、执行poc

根据官方描述，问题出在args4j 库的expandAtFiles，因此在对应方法上直接下断点。根据调用堆栈，分析执行流程。

在main方法中会首先检查当前命令是否是who-am-i或者help，如果使用其他命令就会检查权限，并出现如下错误。

通过使用help命令绕过权限校验，继续跟踪调用流程。当getAtSyntax属性为true时，将通过expandAtFiles继续解析参数

在expandAtFiles中如果检测到@开头的参数，则会读取对应文件内容并返回

由于文件内容不符合参数格式要求，因此最后作为异常返回

由于读取的文件内容最后是通过异常返回的，因此不同的命令返回的结果长度不同，如果没有权限，则只能使用help或者who-am-i命令，返回的长度有限。但是当攻击者具备Overall/Read权限时，就可以使用更多jenkins命令，从而读取更多文件内容。这里仅仅分析漏洞原理，不在深究。

在新版本中，jenkins默认关闭了ALLOW_AT_SYNTAX参数

升级到最新版或者禁用cli功能