Ir al contenido
Perspectiva de los analistas: Descargue hoy mismo su copia del informe Gartner® Hype Cycle™ for Security Operations, 2024. | Obtener informe
Asesoría

Aviso del 9 de agosto: La vulnerabilidad de lectura arbitraria de archivos de Jenkins a través de conexiones de agente puede conducir a RCE [CVE-2024-43044].

CVE-2024-43044/ Jenkins

Fecha de divulgación: 7 de agosto de 2024

CVE-ID y puntuación CVSS: CVE-2024-43044: CVSS 9.9 (Crítico)

Nombre y descripción del problema: La vulnerabilidad de lectura arbitraria de archivos a través de conexiones de agentes puede llevar a RCE en Jenkins

Descripción del activo: Jenkins es un servidor de automatización y compilación de código abierto que se utiliza en entornos de desarrollo para compilar, probar y desplegar software.

Impacto de la vulnerabilidad: Un actor de amenaza podría explotar estas vulnerabilidades para leer archivos arbitrarios del sistema de archivos y potencialmente ejecutar código arbitrario en las instancias Jenkins afectadas.

Detalles de la explotación: Jenkins utiliza una librería para la comunicación entre controladores y agentes. Esta biblioteca permite a los agentes cargar clases Java desde el controlador para que puedan ser ejecutadas en los agentes, lo que podría ser utilizado para leer archivos arbitrarios desde el sistema de archivos del controlador Jenkins.

Disponibilidad de parches: Jenkins semanal se puede actualizar a la versión 2.471, y Jenkins LTS se puede actualizar a la versión 2.452.4 o 2.462.1

Censys Perspectiva:

En el momento de escribir estas líneas, Censys observa 81.830 dispositivos expuestos en línea.

Para identificar las instancias de Jenkins, se pueden utilizar las siguientes consultas en Censys :

Censys Consulta de búsqueda para todas las instancias Jenkins expuestas:

services.software: (product: jenkins and product: jenkins) (link)

Tenga en cuenta que esto no señala las versiones vulnerables.

Censys Consulta ASM para Jenkins potencialmente vulnerable:

risks.name="Jenkins Vulnerability [CVE-2024-43044]" (link

Referencias:

Soluciones de gestión de la superficie de ataque
Más información