Критическую уязвимость Jenkins RCE используют в реальных атаках

Компания Jenkins выпустила обновление для версий 2.442 и LTS 2.426.3 своего продукта, исправив в нем две критические уязвимости. Пользователям рекомендуется не откладывать установку обновлений. 

Проблема безопасности CVE-2024-23897 предоставляет потенциальному злоумышленнику доступ к файлам на сервере Jenkins через использование разрешения «общее/чтение». Хакер также может с ее помощью повысить свои привилегии и добиться удаленного выполнения кода.

CVE-2024-23898 касается межсайтового перехвата WebSocket и позволяет злоумышленникам выполнять произвольные команды CLI. Для ее использования хакером владелец устройства должен перейти по вредоносной ссылке.

Обе проблемы безопасности обнаружила SonarSource, которая уведомила о них Jenkins в ноябре 2023 года. При этом для одной из уязвимостей уже появились общедоступные PoC-эксплойты. Часть из них уже используется в реальных атаках.