Kritikus sebezhetőség a Jenkinsben

Editors' Pick

A Sonar kutatói biztonsági réseket azonosítottak a Jenkins-ben szoftverben. Az egyik felfedezett, CVE-2024-23897 kritikus sebezhetőség lehetővé teszi, hogy a nem hitelesített támadók korlátozott mennyiségű tetszőleges fájl adatát, a csak olvasásra jogosult támadók pedig egy teljes tetszőleges fájlt olvashassanak a Jenkins szerveréről. A támadók a Jenkins szinzitív adatok olvasásával kihasználhatják ezt a sebezhetőséget, hogy adminisztrátori jogosultságokat növeljenek, és végül tetszőleges kódot hajtsanak végre a szerveren.

A másik felfedezett mags súlyosságú (CVE-2024-23898), cross-site WebSocket hijacking (CSWSH) sebezhetőség lehetővé teszi a támadó számára, hogy tetszőleges CLI-parancsokat hajtson végre az áldozat manipulálásával, hogy rákattintson egy linkre.

A sebezhetőségeket a Jenkins 2.442-es és LTS 2.426.3-as verzióiban javították.

FORRÁS