Krytyczna luka w Jenkins umożliwiająca zdalne wykonanie kodu
Wykryto krytyczną lukę w Jenkins umożliwiającą atakującym zdalne wykonanie kodu i przejęcie kontroli nad systemem. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 8.8 HIGH
- EPSS
- 96.3%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- jenkins
Co wiadomo
W Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych wykryto lukę pozwalającą atakującym na deserializację dowolnych typów z pliku config.xml kontrolowanego przez atakującego. Umożliwia to przejęcie tożsamości dowolnego użytkownika i wykonywanie żądań HTTP w jego imieniu, w tym uruchamianie dowolnego kodu poprzez konsolę skryptów lub odczyt plików z kontrolera Jenkins.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla środowisk Jenkins, ponieważ atakujący mogą uzyskać pełną kontrolę nad systemem, co prowadzi do potencjalnego wycieku danych, modyfikacji konfiguracji oraz wykonania złośliwego kodu. Operatorzy IT powinni traktować tę lukę jako wysokiego ryzyka i priorytetowo podejść do jej zaadresowania, aby zapobiec poważnym incydentom bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji i łatek od dostawcy Jenkins oraz ich wdrożenie. W międzyczasie warto ograniczyć dostęp do interfejsu Jenkins, monitorować logi pod kątem podejrzanych aktywności oraz przeprowadzić przegląd konfiguracji i uprawnień użytkowników. Priorytetem jest minimalizacja ekspozycji systemu na zewnętrzne ataki.