Dana 24. siječnja 2024. godine, tvrtka Jenkins je izdala sigurnosno ažuriranje za nekoliko ranjivosti, uključujući kritičnu ranjivost CVE-2024-23897, koja omogućuje napadaču izvršavanje proizvoljnog kôda (engl. remote code execution - RCE).

Objavljena sigurnosna obavijest također pruža detaljne informacije o različitim scenarijima napada, putanjama iskorištavanja, opisima ispravaka te potencijalnim rješenjima za one koji ne mogu primijeniti sigurnosna ažuriranja.

Za ranjivost CVE-2024-23897 je dostupno više Proof of Concept iskorištavanja ranjivosti.

Tehnički detalji ključnih ranjivosti otklonjenih ovim ažuriranjem: 

Ranjivost CVE-2024-23897 (CVSS ocjena 9.8), omogućuje neovlaštenom napadaču s overall/read dozvolama čitanje podataka iz proizvoljnih datoteka na Jenkins poslužitelju.

Ranjivost CVE-2024-23898 (CVSS ocjena 8.8), predstavlja cross-site WebSocket ranjivost, gdje napadači mogu izvršavati proizvoljne CLI naredbe zavaravajući korisnika da klikne na zlonamjernu poveznicu.

Iskorištavanje ovih ranjivosti može dovesti do eskalacije privilegija i udaljenog izvršenja proizvoljnog kôda u određenim uvjetima.

Zahvaćeni proizvodi:

Preporuke:

Preporučuje se žurno ažuriranje ranjivih verzija Jenkins alata na najnoviju dostupnu inačicu.

Više informacija moguće je pročitati na poveznicama u nastavku:

[inicijalna objava: 30.1.2024 - 13:28]