Yangyue

**Nome do software vulnerável e versões afetadas** Versões 2.470 e anteriores do Jenkins; versões LTS 2.452.3 e anteriores **Descrição** Uma falha crítica no Jenkins permite que processos de agente leiam arquivos arbitrários do sistema de arquivos do controlador do Jenkins utilizando o método `ClassLoaderProxy#fetchJar` da biblioteca Remoting. Isso pode levar à exposição de dados confidenciais e, potencialmente, permitir que invasores executem código remotamente (RCE) nos controladores do Jenkins. A vulnerabilidade está relacionada à capacidade da biblioteca Remoting de carregar classes e recursos do carregador de classes a partir do controlador, o que pode ser explorado por invasores com permissão de Agente/Conexão. Estima-se que cerca de 524.309 dispositivos possam estar afetados. **Recomendações** Para as versões 2.470 e anteriores do Jenkins, e as versões LTS 2.452.3 e anteriores, atualize para o Jenkins 2.471, LTS 2.452.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao método `ClassLoaderProxy#fetchJar` ou desativar a biblioteca Remoting até que um patch esteja disponível. Além disso, restrinja o acesso ao endpoint da API `Channel#preloadJar` vulnerável para minimizar o risco de exploração.