CVE-2024-43044

Versões 2.470 e anteriores do Jenkins; versões LTS 2.452.3 e anteriores

Uma falha crítica no Jenkins permite que processos de agente leiam arquivos arbitrários do sistema de arquivos do controlador do Jenkins utilizando o método ClassLoaderProxy#fetchJar da biblioteca Remoting. Isso pode levar à exposição de dados confidenciais e, potencialmente, permitir que invasores executem código remotamente (RCE) nos controladores do Jenkins. A vulnerabilidade está relacionada à capacidade da biblioteca Remoting de carregar classes e recursos do carregador de classes a partir do controlador, o que pode ser explorado por invasores com permissão de Agente/Conexão. Estima-se que cerca de 524.309 dispositivos possam estar afetados.

Para as versões 2.470 e anteriores do Jenkins, e as versões LTS 2.452.3 e anteriores, atualize para o Jenkins 2.471, LTS 2.452.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao método ClassLoaderProxy#fetchJar ou desativar a biblioteca Remoting até que um patch esteja disponível. Além disso, restrinja o acesso ao endpoint da API Channel#preloadJar vulnerável para minimizar o risco de exploração.