Zum Inhalt springen
Einblicke für Analysten: Laden Sie noch heute Ihr Exemplar des Gartner® Hype Cycle™ for Security Operations, 2024 Reports herunter! | Bericht abrufen
Beratung

9. August Hinweis: Jenkins-Schwachstelle beim Lesen beliebiger Dateien durch Agentenverbindungen kann zu RCE führen [CVE-2024-43044]

CVE-2024-43044/ Jenkins

Datum der Offenlegung: 7. August 2024

CVE-ID und CVSS-Score: CVE-2024-43044: CVSS 9.9 (kritisch)

Name und Beschreibung des Problems: Sicherheitslücke beim Lesen beliebiger Dateien durch Agentenverbindungen kann zu RCE in Jenkins führen

Asset-Beschreibung: Jenkins ist ein Open-Source-Automatisierungs- und Build-Server, der in Entwicklungsumgebungen zum Erstellen, Testen und Bereitstellen von Software verwendet wird.

Auswirkungen der Schwachstelle: Ein Angreifer könnte diese Sicherheitslücken ausnutzen, um beliebige Dateien aus dem Dateisystem zu lesen und möglicherweise beliebigen Code auf den betroffenen Jenkins-Instanzen auszuführen.

Details zur Ausnutzung: Jenkins verwendet eine Bibliothek für die Kommunikation zwischen Controllern und Agenten. Diese Bibliothek ermöglicht es den Agenten, Java-Klassen vom Controller zu laden, damit sie auf den Agenten ausgeführt werden können, was dazu genutzt werden könnte, beliebige Dateien aus dem Dateisystem des Jenkins-Controllers zu lesen.

Patch-Verfügbarkeit: Jenkins weekly kann auf Version 2.471 aktualisiert werden, und Jenkins LTS kann auf Version 2.452.4 oder 2.462.1 aktualisiert werden.

Censys Perspektive:

Zum Zeitpunkt der Erstellung dieses Berichts sind auf Censys 81.830 exponierte Geräte online.

Um Jenkins-Instanzen zu identifizieren, können die folgenden Censys Abfragen verwendet werden:

Censys Search Abfrage nach allen exponierten Jenkins-Instanzen:

services.software: (product: jenkins and product: jenkins) (link)

Beachten Sie, dass dadurch keine anfälligen Versionen identifiziert werden können.

Censys ASM-Abfrage nach potenziell gefährdeten Jenkins:

risks.name="Jenkins Vulnerability [CVE-2024-43044]" (link

Referenzen:

Lösungen für das Management von Angriffsflächen
Mehr erfahren