Múltiples vulnerabilidades en Jenkins
Fecha de publicación 08/08/2024
Importancia
5 - Crítica
Recursos Afectados
- Jenkins weekly, hasta la versión 2.470 incluida;
- Jenkins LTS, hasta la versión 2.452.3 incluida.
Descripción
Varios investigadores han reportado 2 vulnerabilidades, de severidad crítica y media, que afectan al core de Jenkins. La explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código o acceder a información de otros usuarios.
Solución
- Jenkins weekly, actualizar a 2.471;
- Jenkins LTS, actualizar a 2.452.4 o 2.462.1.
Detalle
La vulnerabilidad crítica en el core de Jenkins podría permitir a los procesos del agente leer ficheros arbitrarios del sistema de ficheros del controlador Jenkins, utilizando el método ClassLoaderProxy#fetchJar de la librería Remoting, otorgando a un atacante la posibilidad de realizar un RCE. Se ha asignado el identificador CVE-2024-43044 para esta vulnerabilidad.
La vulnerabilidad de severidad media tiene asignado el identificador CVE-2024-43045.
Listado de referencias
Etiquetas
