Kritikus sebezhetőség a Jenkinsben
A Sonar kutatói biztonsági réseket azonosítottak a Jenkins-ben szoftverben. Az egyik felfedezett, CVE-2024-23897 kritikus sebezhetőség lehetővé teszi, hogy a nem hitelesített támadók korlátozott mennyiségű tetszőleges fájl adatát, a csak olvasásra jogosult támadók pedig egy teljes tetszőleges fájlt olvashassanak a Jenkins szerveréről. A támadók a Jenkins szinzitív adatok olvasásával kihasználhatják ezt a sebezhetőséget, hogy adminisztrátori jogosultságokat növeljenek, és végül tetszőleges kódot hajtsanak végre a szerveren.
A másik felfedezett mags súlyosságú (CVE-2024-23898), cross-site WebSocket hijacking (CSWSH) sebezhetőség lehetővé teszi a támadó számára, hogy tetszőleges CLI-parancsokat hajtson végre az áldozat manipulálásával, hogy rákattintson egy linkre.
A sebezhetőségeket a Jenkins 2.442-es és LTS 2.426.3-as verzióiban javították.