Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Jenkins

Fecha de publicación 08/08/2024
Identificador
INCIBE-2024-0392
Importancia
5 - Crítica
Recursos Afectados
  • Jenkins weekly, hasta la versión 2.470 incluida;
  • Jenkins LTS, hasta la versión 2.452.3 incluida.
Descripción

Varios investigadores han reportado 2 vulnerabilidades, de severidad crítica y media, que afectan al core de Jenkins. La explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código o acceder a información de otros usuarios.

Solución
  • Jenkins weekly, actualizar a 2.471;
  • Jenkins LTS, actualizar a 2.452.4 o 2.462.1.
Detalle

La vulnerabilidad crítica en el core de Jenkins podría permitir a los procesos del agente leer ficheros arbitrarios del sistema de ficheros del controlador Jenkins, utilizando el método ClassLoaderProxy#fetchJar de la librería Remoting, otorgando a un atacante la posibilidad de realizar un RCE. Se ha asignado el identificador CVE-2024-43044 para esta vulnerabilidad.

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2024-43045.

Listado de referencias
Jenkins Security Advisory 2024-08-07
Etiquetas