PT-2024-1303 · Jenkins+1 · Jenkins+1
Yaniv Nizry
·
Publicado
2024-01-24
·
Atualizado
2024-05-14
·
CVE-2024-23898
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Jenkins 2.217 a 2.441
Versões LTS do Jenkins 2.222.1 a 2.426.2
Descrição
O problema está relacionado à interface de linha de comando (CLI) integrada do servidor Jenkins, que apresenta uma falha no procedimento de autenticação. Essa falha pode ser explorada por um invasor remoto para realizar um ataque de sequestro de WebSocket entre sites (CSWSH), permitindo a execução de comandos CLI no controlador Jenkins. A vulnerabilidade se deve à falta de validação de origem das solicitações feitas por meio do endpoint WebSocket da CLI.
Recomendações
Para as versões do Jenkins 2.217 a 2.441, atualize para uma versão que inclua a correção para este problema.
Para as versões LTS do Jenkins 2.222.1 a 2.426.2, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere desativar o endpoint WebSocket da CLI até que um patch esteja disponível.
Restrinja o acesso ao controlador do Jenkins para minimizar o risco de exploração.
Correção
DoS
Origin Validation Error
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Red Os