کشف آسیب‌پذیری در Jenkins و امکان اجرای کد از راه‌دور

کشف آسیب‌پذیری در Jenkins و امکان اجرای کد از راه‌دور

تاریخ ایجاد

Jenkins  یک سرور اتوماسیون منبع باز مبتنی بر جاوا می‌باشد که برای ایجاد و آزمایش مداوم پروژه‌های نرم‌افزاری مورد استفاده قرار گرفته و مسیر را برای توسعه‌دهندگان و مهندسان DevOps آسان‌تر می‌کند تا تغییرات را در پروژه ادغام کنند. آسیب‌پذیری با شناسه CVE-2024-23897 در این سرور کشف شده است.Jenkins  از کتابخانه args4j برای تجزیه آرگومان‌ها هنگام پردازش دستورات CLI استفاده می‌کند. این تجزیه‌کننده فرمان دارای یک feature است که یک کاراکتر @ و به دنبال آن یک مسیر فایل را در یک آرگومان با محتوای فایل (expandAtFiles) جایگزین می‌کند. این امر به مهاجمان اجازه می‌دهد تا فایل‌های دلخواه را در سیستم فایل کنترلر Jenkins  بدون احراز هویت بخوانند. همچنین مهاجم با بهره‌برداری از این نقص امنیتی می‌تواند موارد زیر را نیز انجام‌دهند:
•    اجرای کد از راه دور از طریق URL های ریشه منبع
•    اجرای کد از راه دور از طریق کوکی "Remember Me"
•    اجرای کد از راه دور از طریق حملات اسکریپت بین سایتی (XSS) ذخیره شده از طریق لاگ‌های ساخت
•    اجرای کد از راه دور از طریق CSRF protection bypass
•    رمزگشایی موارد ذخیره شده در Jenkins  
•    هر چیزی را در Jenkins  حذف کنید

محصولات تحت تأثیر
Jenkins 2.441  و LTS 2.426.2 و همچنین نخسه‌های قدیمی‌تر آن‌ها دارای آسیب‌پذیری مذکور هستند. 

توصیه‌های امنیتی
به کاربران توصیه می‌شود سرور خود را به نسخه Jenkins 2.442 و LTS 2.426.3 یا بالاتر به‌روزرسانی کرده و یا دسترسی به CLI را خاموش کنند.

منبع خبر:


[1] https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-23897