【春秋云境】CVE-2024-23897-Jenkins 2.441之前版本存在任意文件读取漏洞

HMX4042024-09-28 14:00

一、靶场介绍

Jenkins 2.441及更早版本，以及LTS 2.426.2及更早版本没有禁用其CLI命令解析器的一个功能，该功能会将参数中'@'字符后跟的文件路径替换为该文件的内容，允许未经身份验证的攻击者读取Jenkins控制器文件系统上的任意文件。

二、POC下载

.直接下载编译好的二进制文件
Linux:

https://github.com/wjlin0/CVE-2024-23897/releases/download/v1.0.1/CVE-2024-23897_1.0.1_linux_amd64.zip
Window:

https://github.com/wjlin0/CVE-2024-23897/releases/download/v1.0.1/CVE-2024-23897_1.0.1_windows_amd64.zip
其他系统Release:

https://github.com/wjlin0/CVE-2024-23897/releases/tag/v1.0.1

获取flag

CVE-2024-23897.exe -u http://39.106.48.123:41922/ -a /flag

上一篇：Github Webhook触发Jenkins自动构建

下一篇：启动 Ntopng 服务前需先启动 redis 服务及 Ntopng 常用参数介绍

热门推荐

01GitHub 镜像站点 02OpenClaw 使用和管理 MCP 完全指南 03OpenClaw + 飞书（Feishu）环境搭建指南 04Claude Code + GLM4.7 避坑指南：解决 Unable to connect to Anthropic services 05小黑课堂计算机二级WPSoffice题库软件下载安装教程（2026年3月最新版）06Clawdbot部署教程：解决‘gateway token missing’授权问题的完整步骤 07OpenClaw优化飞书API 额度已耗尽问题 08Window 10部署openclaw报错node.exe : npm error code 128 09【OpenClaw 本地实战 Ep.3】突破瓶颈：强制修改 openclaw.json 解锁 32k 上下文记忆 10OpenClaw大龙虾机器人完整安装教程