Die Entwickler des freien Developer-Tools Jenkins haben drei teils kritische Sicherheitslücken geschlossen.

In der Mitteilung berichten die Jenkins-Macher von einer Denial-of-Service-Schwachstelle in der mitgelieferten Bibliothek json-lib. Das Problem steckt in Jenkins LTS 2.479.1 und früher sowie in Jenkins 2.486 und früher. Diese Versionen bündeln die Bibliothek und sind damit vom Problem betroffen (CVE-2024-47855). In Jenkins (ohne Plugins) ermöglicht die Lücke es Angreifern mit der Berechtigung „Overall/Read“, Threads zur Bearbeitung von HTTP-Anfragen unendlich lange zu beschäftigen, Systemressourcen zu verbrauchen und legitime Benutzer an der Nutzung von Jenkins zu hindern. Darüber hinaus hat das Jenkins-Sicherheitsteam mehrere Plugins identifiziert, die es Angreifern ohne die Berechtigung „Overall/Read“ ermöglichen, das Gleiche zu tun.

Ein weiteres Sicherheitsproblem (CVE-2024-54003) steckt im Simple Queue Plugin 1.4.4 und früheren Versionen. Das Plugin vergisst den Namen von Views mit Escape zu versehen. Dies führt zu einer stored Cross-Site-Scripting (XSS)-Schwachstelle, die von Angreifern mit View/Create-Berechtigung ausgenutzt werden kann. Im Simple Queue Plugin 1.4.5 ist die Lücke geschlossen.

Die dritte Lücke wird als Path Traversal-Schwachstelle im Filesystem List Parameter Plugin 0.0.14 und früher beschrieben (CVE-2024-54004). Dies ermöglicht Angreifern mit der Berechtigung Item/Configure die Auflistung von Dateinamen im Dateisystem des Jenkins-Controllers.Das  Filesystem List Parameter Plugin 0.0.15 behebt das Problem.