一、漏洞详情

Jenkins是一个开源的、提供持续集成服务（CI）的软件平台。Jenkins使用Remoting库实现控制器与代理之间的通信，该库允许代理从控制器加载类和类加载器资源，以便从控制器发送的Java对象（构建步骤等）可以在代理上执行。

近日，监测到Jenkins Remoting任意文件读取漏洞(CVE-2024-43044)，由于Remoting库ClassLoaderProxy#fetchJar方法没有限制代理请求从控制器文件系统读取的路径，可能导致拥有Agent/Connect权限的攻击者从Jenkins控制器文件系统读取任意文件（如凭证、配置文件等敏感信息）并进一步利用导致远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Jenkins <= 2.470

Jenkins LTS <= 2.452.3

三、修复建议

目前官方已发布安全更新，建议受影响用户升级至最新版本：Jenkins 2.471、LTS 2.452.4、LTS 2.462.1或更高版本