Kritisk sårbarhet i Jenkins

Jenkins har publicerat säkerhetsråd som hanterar flera sårbarheter, varav en kritisk som fått CVSS-klassificeringen 9.8 av 10 [1].

Den kritiska sårbarheten CVE-2024-23897 gör det möjligt för en fjärrangripare att läsa godtyckliga filer och i flera fall köra godtycklig kod på systemet. Proof-of-concept finns tillgängligt och sårbarheten anses relativt enkel att utnyttja.

Uppdatering 2024-02-01

Flera proof of concepts (PoC) har publicerats. Det finns även rapporter om att sårbarheten utnyttjas aktivt. [2]

Påverkade produkter

Jenkins weekly äldre versioner upp till och 2.441 inkluderad
Jenkins LTS äldre versioner upp till och 2.426.2 inkluderad

Rekommendationer

CERT-SE rekommenderar att uppgradera till säkerhetsuppdaterade versioner 2.442 eller LTS 2.426.3 snarast och följa tillverkarens övriga rekommendationer. [1]

Källor:

[1] https://www.jenkins.io/security/advisory/2024-01-24/

[2] https://www.helpnetsecurity.com/2024/01/29/cve-2024-23897/