1. 개요 Jenkins란 Java 기반의 오픈소스 CI 툴이다. 다수의 개발자들이 하나의 프로그램을 개발할 때 버전 충돌을 방지하기 위해 각자 작업한 내용을 공유영역에 있는 저장소에 업로드함으로써 지속적 통합이 가능하다. 영향을 받는 버전 Jenkins: 2.441 버전 이하 LTS: 2.426.2 버전 이하 CVSS: 9.8점 2. 상세 분석 공격 설명 CLI 명령어 내에 있는 임의 파일 읽기 취약점으로 인증되지 않은 공격자가 Jenkins 컨트롤러 파일 시스템에서 arags4j 라이브러리를 통해 문자 인코딩을 악용하여 모든 프로그램 파일을 읽을 수 읽을 수 있다. arags4j 라이브러리에서 매개 변수 @문자 뒤에 파일 경로를 입력하면 해당 파일을 읽고 결과 값을 반환한다. 공격 테스트 해당 취약점..