漏洞描述
Jenkins 是一款流行的软件项目管理平台,默认配置下所有人都可以访问平台上所有页面。攻击者可以利用平台中的scripts页面执行系统命令,获取服务器权限,进而入侵服务器,引发数据泄露等安全事件。
漏洞等级
高危
漏洞利用方式
黑客可以直接在互联网远程利用获取服务器权限。
漏洞修复方案
在Jenkins管理页面添加访问密码。建议您使用由十位以上数字,字母和特殊符号组成的强密码。
建议您不要将管理后台开放到互联网上。您可以使用ECS安全组策略设置访问控制,默认策略为拒绝所有通信。您可以根据业务发布情况仅开放需要对外用户提供的服务,并控制好访问源IP。
注意:为避免数据丢失,升级前请做好备份,或ECS建立硬盘快照。