Jenkins 2024
Seguridad de Jenkins – 01 – 24. Este aviso destaca las vulnerabilidades en los siguientes productos de Jenkins: Jenkins Central Git Server Plugin; Seguridad de Jenkins -05-02. Este aviso destaca las vulnerabilidades en los siguientes productos de Jenkins: Complemento de servidor Git. Seguridad de secuencias de comandos · Anteriormente. 440. Versiones anteriores de paquetes Jetty afectadas por la vulnerabilidad CVE – 2024 – 22201. Esta vulnerabilidad lo hace posible. Jenkins ha publicado actualizaciones de seguridad que abordan múltiples vulnerabilidades, incluida una vulnerabilidad crítica, CVE - 2024 - 23897, y una vulnerabilidad de alta gravedad, CVE - 2024. Las PoC se aplican a CVE - 2024 - 23897, que permite a los atacantes ejecutar código de forma remota en archivos sin parches. Dispositivos para ejecutar el servidor Jenkins. Muchas de estas PoC ya eran CVE – 2024 – 23897. La vulnerabilidad de lectura arbitraria de archivos de la CLI de Jenkins puede provocar RCE. Revisión de Critical Gravity GitHub publicada en GitHub. Parece haber una discrepancia entre el Aviso de seguridad de Jenkins: Jenkins Security -01- y el listado de CVE en NVD - CVE - 2024 -23897 nist.gov NVD NIST. Antes. 426. antes de que sean vulnerables. Si bien el aviso de seguridad de Jenkins incluye estos dos, solo se requiere una llamada. 440.1, Jenkins, un popular servidor de automatización de código abierto, se vio afectado por una vulnerabilidad de lectura de archivos, CVE - 2024 -23897. Jenkins usa una interfaz de línea de comando (CLI) incorporada para facilitar la interacción desde entornos de script o shell, y usa la biblioteca args4j para analizar argumentos y opciones de comando en el controlador de Jenkins a medida que lo usamos. 263. La organización ha tomado conocimiento de la existencia de una amenaza vulnerable CVE - 2024 -23897. ¿Alguien puede aportar una solución para comprobar si esta vulnerabilidad afecta a nuestra versión? En caso afirmativo, ¿qué podemos hacer? mawinter69 Markus Winter 8: Yo diría que sí, está afectado; consulte Jenkins Security, explotación activa de múltiples vulnerabilidades en los productos Jenkins. Jenkins ha publicado actualizaciones de seguridad que abordan múltiples vulnerabilidades, incluida una vulnerabilidad crítica CVE - 2024 -23897 y una vulnerabilidad de alta gravedad CVE - 2024 -23898 en sus productos. Según se informa, se están identificando activamente las vulnerabilidades. Con Jenkins ejecutándose actualmente, ejecute el script Enable-cli.groovy proporcionado en la consola de scripts. Esto eliminará el punto final de la CLI HTTP hasta que se reinicie Jenkins. Después de la inicialización, cree una secuencia de comandos Groovy Hook con el contenido de "enable-cli.groovy" para garantizar que la secuencia de comandos se ejecute cada vez que se reinicie Jenkins...