Jenkins 自动化服务器安全漏洞警告

重点摘要

Aqua 研究人员发现 Jenkins开源自动化服务器受到了两项严重漏洞的影响。这两项漏洞被称为“CorePlague”，可能被利用来执行。有关报告指出，漏洞编号分别为 CVE-2023-27898 和
CVE-2023-27905，均源于 Jenkins 对更新中心插件的错误处理。这些漏洞的存在可能导致恶意 payload插件的使用，从而引发跨站脚本攻击（XSS）。即便在没有安装插件的情况下，威胁行为者也能激活这些漏洞。即便是自托管的 Jenkins服务器，包括不连接互联网的环境，也可能受到这些漏洞的攻击。

根据研究人员的说法：“一旦受害者在他们的 Jenkins 服务器上打开可用插件管理器，XSS 就会被触发，允许攻击者利用脚本控制台 API 在
Jenkins 服务器上执行任意代码。”为了修复这些漏洞，Jenkins 已经为所有版本早于 2.319.2 的 Jenkins 服务器发布了补丁。

漏洞详情与影响

漏洞编号 | 漏洞名称 | 风险 | 修复版本
—|—|—|—
CVE-2023-27898 | CorePlague | 任意代码执行、跨站脚本攻击 (XSS) | 2.319.2 及以上版本
CVE-2023-27905 | CorePlague | 任意代码执行、跨站脚本攻击 (XSS) | 2.319.2 及以上版本

注意 : 如果你的 Jenkins 服务器版本在 2.319.2 之前，请务必尽快升级以避免潜在风险。

这种漏洞的影响范围广泛，不仅影响在公共网络中运行的服务器，连自托管的服务器也要面临安全隐患。建议所有使用 Jenkins的组织立即检查和更新其服务器，以降低被攻击的风险。

相关链接

确保采取适当措施来保护你的开发环境，避免遭受这些漏洞的影响。