Jenkins w wersjach 2.441 i wcześniejszych oraz LTS 2.426.2 i wcześniejszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu odczyt dowolnych plików z systemu plików kontrolera Jenkins. Podatność jest aktywnie wykorzystywana i figuruje na liście CISA KEV.
▸ Pokaż oryginał (EN)
Jenkins 2.441 and earlier, LTS 2.426.2 and earlier does not disable a feature of its CLI command parser that replaces an '@' character followed by a file path in an argument with the file's contents, allowing unauthenticated attackers to read arbitrary files on the Jenkins controller file system.
Parser poleceń interfejsu CLI Jenkins zawiera funkcję, która automatycznie zastępuje ciąg znaków '@' poprzedzający ścieżkę pliku zawartością tego pliku. Mechanizm ten nie jest wyłączony dla nieuwierzytelnionych użytkowników, co pozwala atakującemu na spreparowanie żądania CLI zawierającego argument w postaci '@/ścieżka/do/pliku'. W odpowiedzi serwer zwraca zawartość wskazanego pliku z systemu plików kontrolera Jenkins, bez konieczności posiadania jakichkolwiek uprawnień.
Atakujący może odczytać dowolne pliki dostępne dla procesu Jenkins, w tym pliki konfiguracyjne, klucze SSH, sekrety, tokeny API oraz dane uwierzytelniające, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad środowiskiem CI/CD.
Należy zaktualizować Jenkins do wersji 2.442 lub nowszej (weekly) albo do wersji LTS 2.426.3 lub nowszej. Szczegóły patcha dostępne w oficjalnym biuletynie bezpieczeństwa Jenkins: https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
Jenkins w wersji 2.441 i wcześniejszych; Jenkins LTS w wersji 2.426.2 i wcześniejszych
Podatność została upubliczniona 24 stycznia 2024 r. Dostępne są publicznie exploity oraz skanery (Packet Storm). Analiza techniczna podatności została opublikowana przez Sonar Source. Podatność dotyczy krytycznej infrastruktury CI/CD, co znacząco zwiększa ryzyko łańcucha dostaw.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HJenkins
APPJenkins< 2.426.3< 2.442
CISA KEV — szczegółyi
- Dostawcai
- Jenkins
- Produkti
- Jenkins Command Line Interface (CLI)
- Data dodania do KEVi
- 19 sierpnia 2024
- Termin remediation (USA)i
- 9 września 2024(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Interfejs wiersza poleceń Jenkins (CLI) zawiera lukę path traversal, która umożliwia atakującym ograniczony dostęp do odczytu określonych plików, co może prowadzić do wykonania kodu.
▸ Pokaż oryginał (EN)
Jenkins Command Line Interface (CLI) contains a path traversal vulnerability that allows attackers limited read access to certain files, which can lead to code execution.
Powiązane podatności
A code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier, LTS 2.13...
Jenkins versions 2.56 and earlier as well as 2.46.1 LTS and earlier are vulnerable to an unauthenticated remot...
Jenkins 2.270 through 2.393 (both inclusive), LTS 2.277.1 through 2.375.3 (both inclusive) does not escape the...
Jenkins 2.318 and earlier, LTS 2.303.2 and earlier does not check agent-to-controller access to create parent ...
Jenkins 2.318 and earlier, LTS 2.303.2 and earlier does not check agent-to-controller access to create symboli...