任意文件读取 - 任意文件读取技术,学习,经验文章

fly夏天

10 个月前

Jenkins任意文件读取漏洞(CVE-2024-23897)复现Jenkins 有一个内置的命令行界面CLI，在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能，可以将@参数中后跟文件路径的字符替换为文件内容 ( expandAtFiles)。具有Overall/Read权限的攻击者可以读取整个文件，未授权的攻击者仅能读取文件前几行内容。