Die Entwickler von Jenkins haben eine Sicherheitsmeldung veröffentlicht, die eine kritische Sicherheitslücke in der Kommandozeilenschnittstelle (CLI) von Jenkins Core betrifft. Diese Schwachstelle ermöglicht es Angreifern, beliebige Dateien zu lesen, einschließlich solcher mit sensiblen Informationen wie kryptografischen Schlüsseln. Die Meldung identifiziert fünf potenzielle Angriffsvektoren, über die bösartige Akteure eingeschleusten Code ausführen können, um Geheimnisse zu entschlüsseln oder Dateien in Jenkins zu löschen (CVE-2024-23897, CVSS 9.8).
Zusätzlich besteht die Möglichkeit, über das Command Line Interface Websockets von anderen Seiten zu übernehmen, was als Cross-Site Websocket Hijacking bezeichnet wird (CVE-2024-23898, CVSS 8.8). Weitere Sicherheitslücken wurden im Git Server Plug-in, Log Command Plug-in, Qualys Policy Compliance Scanning Connector Plug-in, Red Hat Dependency Analytics Plug-in (alle mit hohem Risiko) sowie im Matrix Project Plug-in und Gitlab Branch Source Plug-in (beide mit mittlerem Risiko) identifiziert.
Um diese Schwachstellen zu beheben, wird empfohlen, auf die neuesten Versionen zu aktualisieren, darunter Jenkins Weekly 2.442, Jenkins LTS 2.426.3, Git Server Plug-in 99.101.v720e86326c09, Gitlab Branch Source Plug-in 688.v5fa_356ee8520, Matrix Project Plug-in 822.824.v14451b_c0fd42, Qualys Policy Compliance Scanning Connector Plug-in 1.0.6 sowie Red Hat Dependency Analytics Plug-in 0.9.0.
