Jenkins یک سرور اتوماسیون منبع باز مبتنی بر جاوا میباشد که برای ایجاد و آزمایش مداوم پروژههای نرمافزاری مورد استفاده قرار گرفته و مسیر را برای توسعهدهندگان و مهندسان DevOps آسانتر میکند تا تغییرات را در پروژه ادغام کنند. آسیبپذیری با شناسه CVE-2024-23897 در این سرور کشف شده است.Jenkins از کتابخانه args4j برای تجزیه آرگومانها هنگام پردازش دستورات CLI استفاده میکند. این تجزیهکننده فرمان دارای یک feature است که یک کاراکتر @ و به دنبال آن یک مسیر فایل را در یک آرگومان با محتوای فایل (expandAtFiles) جایگزین میکند. این امر به مهاجمان اجازه میدهد تا فایلهای دلخواه را در سیستم فایل کنترلر Jenkins بدون احراز هویت بخوانند. همچنین مهاجم با بهرهبرداری از این نقص امنیتی میتواند موارد زیر را نیز انجامدهند:
• اجرای کد از راه دور از طریق URL های ریشه منبع
• اجرای کد از راه دور از طریق کوکی "Remember Me"
• اجرای کد از راه دور از طریق حملات اسکریپت بین سایتی (XSS) ذخیره شده از طریق لاگهای ساخت
• اجرای کد از راه دور از طریق CSRF protection bypass
• رمزگشایی موارد ذخیره شده در Jenkins
• هر چیزی را در Jenkins حذف کنید
محصولات تحت تأثیر
Jenkins 2.441 و LTS 2.426.2 و همچنین نخسههای قدیمیتر آنها دارای آسیبپذیری مذکور هستند.
توصیههای امنیتی
به کاربران توصیه میشود سرور خود را به نسخه Jenkins 2.442 و LTS 2.426.3 یا بالاتر بهروزرسانی کرده و یا دسترسی به CLI را خاموش کنند.
منبع خبر:
[1] https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-23897
- 55