Jenkins 使用不安全权限创建临时插件
漏洞描述 Jenkins 是一个用于自动化构建、测试和部署软件项目的开源工具。 受影响版本中,当直接从 URL 部署插件时 Jenkins 会在系统共享临时目录中创建此临时文件,并且该文件具有创建者所有权限。当从管理员计算机上传此插件时,如果文件权限过于宽松,有权访问 Jenkins 系统共享临时目录的攻击者可在临时文件安装到 Jenkins 之前将其替换为带有 payload 的恶意文件,导致Jenkins安装此插件时远程执行恶意代码。 漏洞名称 Jenkins 使用不安全权限创建临时插件 漏洞类型 创建拥有不安全权限的临时文件 发现时间 2023-09-21 漏洞影响广度 广 MPS编号 MPS-n8lm-der1 CVE编号 CVE-2023-43496 CNVD编号 - 影响范围 org.jenkins-ci.main:jenkins-core@(-∞, 2.424) jenkins@(-∞, 2.424) jenkins lts@(-∞, 2.414.2) jenkins@影响所有版本 修复方案 升级jenkins LTS到 2.414.2 或更高版本 升级org.jenki...
