CVE-2024-43044/ Jenkins
Datum der Offenlegung: 7. August 2024
CVE-ID und CVSS-Score: CVE-2024-43044: CVSS 9.9 (kritisch)
Name und Beschreibung des Problems: Sicherheitslücke beim Lesen beliebiger Dateien durch Agentenverbindungen kann zu RCE in Jenkins führen
Asset-Beschreibung: Jenkins ist ein Open-Source-Automatisierungs- und Build-Server, der in Entwicklungsumgebungen zum Erstellen, Testen und Bereitstellen von Software verwendet wird.
Auswirkungen der Schwachstelle: Ein Angreifer könnte diese Sicherheitslücken ausnutzen, um beliebige Dateien aus dem Dateisystem zu lesen und möglicherweise beliebigen Code auf den betroffenen Jenkins-Instanzen auszuführen.
Details zur Ausnutzung: Jenkins verwendet eine Bibliothek für die Kommunikation zwischen Controllern und Agenten. Diese Bibliothek ermöglicht es den Agenten, Java-Klassen vom Controller zu laden, damit sie auf den Agenten ausgeführt werden können, was dazu genutzt werden könnte, beliebige Dateien aus dem Dateisystem des Jenkins-Controllers zu lesen.
Patch-Verfügbarkeit: Jenkins weekly kann auf Version 2.471 aktualisiert werden, und Jenkins LTS kann auf Version 2.452.4 oder 2.462.1 aktualisiert werden.
Censys Perspektive:
Zum Zeitpunkt der Erstellung dieses Berichts sind auf Censys 81.830 exponierte Geräte online.
Um Jenkins-Instanzen zu identifizieren, können die folgenden Censys Abfragen verwendet werden:
Censys Search Abfrage nach allen exponierten Jenkins-Instanzen:
services.software: (product: jenkins and product: jenkins) (link)
Beachten Sie, dass dadurch keine anfälligen Versionen identifiziert werden können.
Censys ASM-Abfrage nach potenziell gefährdeten Jenkins:
risks.name="Jenkins Vulnerability [CVE-2024-43044]" (link)
Referenzen:
