CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2024-23897

Jenkins CLI – odczyt dowolnych plików przez path traversal bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-01-24upd. 2025-10-24

Jenkins w wersjach 2.441 i wcześniejszych oraz LTS 2.426.2 i wcześniejszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu odczyt dowolnych plików z systemu plików kontrolera Jenkins. Podatność jest aktywnie wykorzystywana i figuruje na liście CISA KEV.

Pokaż oryginał (EN)

Jenkins 2.441 and earlier, LTS 2.426.2 and earlier does not disable a feature of its CLI command parser that replaces an '@' character followed by a file path in an argument with the file's contents, allowing unauthenticated attackers to read arbitrary files on the Jenkins controller file system.

🤖 Analiza AI
Jak działa

Parser poleceń interfejsu CLI Jenkins zawiera funkcję, która automatycznie zastępuje ciąg znaków '@' poprzedzający ścieżkę pliku zawartością tego pliku. Mechanizm ten nie jest wyłączony dla nieuwierzytelnionych użytkowników, co pozwala atakującemu na spreparowanie żądania CLI zawierającego argument w postaci '@/ścieżka/do/pliku'. W odpowiedzi serwer zwraca zawartość wskazanego pliku z systemu plików kontrolera Jenkins, bez konieczności posiadania jakichkolwiek uprawnień.

Skutki

Atakujący może odczytać dowolne pliki dostępne dla procesu Jenkins, w tym pliki konfiguracyjne, klucze SSH, sekrety, tokeny API oraz dane uwierzytelniające, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad środowiskiem CI/CD.

Mitygacja

Należy zaktualizować Jenkins do wersji 2.442 lub nowszej (weekly) albo do wersji LTS 2.426.3 lub nowszej. Szczegóły patcha dostępne w oficjalnym biuletynie bezpieczeństwa Jenkins: https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314

Kogo dotyczy

Jenkins w wersji 2.441 i wcześniejszych; Jenkins LTS w wersji 2.426.2 i wcześniejszych

Uwagi

Podatność została upubliczniona 24 stycznia 2024 r. Dostępne są publicznie exploity oraz skanery (Packet Storm). Analiza techniczna podatności została opublikowana przez Sonar Source. Podatność dotyczy krytycznej infrastruktury CI/CD, co znacząco zwiększa ryzyko łańcucha dostaw.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Jenkins

    APP
    Jenkins
    < 2.426.3< 2.442

CISA KEV — szczegółyi

Dostawcai
Jenkins
Produkti
Jenkins Command Line Interface (CLI)
Data dodania do KEVi
19 sierpnia 2024
Termin remediation (USA)i
9 września 2024(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Interfejs wiersza poleceń Jenkins (CLI) zawiera lukę path traversal, która umożliwia atakującym ograniczony dostęp do odczytu określonych plików, co może prowadzić do wykonania kodu.

tłumaczenie AI
Pokaż oryginał (EN)

Jenkins Command Line Interface (CLI) contains a path traversal vulnerability that allows attackers limited read access to certain files, which can lead to code execution.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 9 września 2024
Tagi
Auth BypassCI/CDPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2018-1000861CRITICAL9.8⚠ KEVten sam produkt

A code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier, LTS 2.13...

CVE-2017-1000353CRITICAL9.8⚠ KEVten sam produkt

Jenkins versions 2.56 and earlier as well as 2.46.1 LTS and earlier are vulnerable to an unauthenticated remot...

CVE-2023-27898CRITICAL9.6ten sam produkt

Jenkins 2.270 through 2.393 (both inclusive), LTS 2.277.1 through 2.375.3 (both inclusive) does not escape the...

CVE-2021-21685CRITICAL9.1ten sam produkt

Jenkins 2.318 and earlier, LTS 2.303.2 and earlier does not check agent-to-controller access to create parent ...

CVE-2021-21687CRITICAL9.1ten sam produkt

Jenkins 2.318 and earlier, LTS 2.303.2 and earlier does not check agent-to-controller access to create symboli...