Kritiskas ievainojamības Jenkins programmatūrā (CVE-2024-23897, CVE-2024-23898)
Atklātas kritiskas ievainojamības Jenkins programmatūrā CVE-2024-23897 un CVE-2024-23898.
- Ievainojamība CVE-2024-23897 neautentificētam lietotājam ļauj patvaļīgi nolasīt Jenkins kontroliera sistēmas datnes. Ir zināms, ka šīs ievainojamības uzbrucēji jau aktīvi izmantoto, lai iegūtu sensitīvu informāciju, kas pēc tam ļauj veikt arī attālinātā koda izpildi (RCE) uz kompromitētās iekārtas.
Ietekmētas ir visas versijas pirms Jenkins 2.441 (ieskaitot) un LTS 2.426.2 (ieskaitot).
Vairāk informācijas šeit:
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
- Ievainojamība CVE-2024-23898 uzbrucējam ļauj izpildīt darbības komandrindas saskarnē (CLI) uz Jenkins kontroliera. Ietekmētas ir visas versijas no Jenkins 2.217 līdz 2.441 (abas ieskaitot), LTS 2.222.1 līdz 2.426.2 (abas ieskaitot).
Vairāk informācijas:
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3315
CERT.LV aicina nekavēties un pēc iespējas ātrāk uzstādīt versiju 2.442/LTS 2.426.3, kur šīs ievainojamības ir novērstas. Papildus tehniskā informācija ir pieejama šeit: https://www.sonarsource.com/blog/excessive-expansion-uncovering-critical-security-vulnerabilities-in-jenkins/
