English

◀◁ 뒤로 취약점ID 210270 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 자체 보고된 버전 번호에 따르면 원격 웹 서버에서 실행되는 Jenkins 버전은 2.426.3 이전의 Jenkins LTS 또는 2.442 이전의 Jenkins weekly입니다. 따라서 다음과 같은 여러 취약점의 영향을 받습니다. - Jenkins 2.441 이전, LTS 2.426.2 이전에는 파일 내용이 있는 인수에서 뒤에 파일 경로가 있는 '@' 문자를 대체하는 CLI 명령 구문 분석기의 기능을 비활성화하지 않습니다. 이로 인해 인증되지 않은 공격자가 Jenkins 컨트롤러 파일 시스템의 모든 파일을 읽을 수 있습니다. (CVE-2024-23897) - Jenkins 2.217 ~ 2.441 (둘 다 포함) , 크로스 사이트 WebSocket 탈취 (CSWSH) 취약점이 발생하고 공격자가 Jenkins 컨트롤러에서 CLI 명령을 실행할 수 있습니다. (CVE-2024-23898) * 참고 사이트: https://jenkins.io/security/advisory/2024-01-24 * 영향을 받는 플랫폼: Jenkins LTS 2.426.3 이하 버전 Any operating system Any version 해결책 Jenkins LTS 웹 사이트인 https://jenkins.io/download 에서 구할 수 있는 Jenkins LTS의 가장 최신 버전(2.426.3 혹은 이후)으로 업그레이드 한다. 관련 URL CVE-2024-23897,CVE-2024-23898 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)