Критическая уязвимость удалённого выполнения кода CVE-2024-23897 в Jenkins, 9.8 баллов по шкале CvSS. Разработчик ПО уже выпустил исправления.
https://www.jenkins.io/security/advisory/2024-01-24/
Снова нет повода не обновиться. Проблему усугубляет наличие PoC в открытом доступе.
Jenkins использует библиотеку args4j для анализа аргументов и параметров команды на контроллере Jenkins при обработке команд CLI. Ошибка найдена в этой библиотеке. Уязвимость позволяет злоумышленникам читать произвольные файлы в файловой системе контроллера Jenkins. Если злоумышленник сможет прочитать криптографические ключи из двоичных файлов, то возможно удалённое выполнение кода через корневые URL-адреса ресурсов и другие способы атак.
Что делать?
Обновить ПО до безопасной версии Jenkins:
- 2.442 или выше
- LTS 2.426.3 или выше
Компенсационные меры: отключить доступ к CLI.
