Javno su postale dostupne upute za iskorištavanje ranjivosti Jenkinsa – open source poslužitelja za automatizaciju razvoja softvera.

U Jenkinsu su otkrivene dvije ranjivosti:

CVE-2024-23897 – napadaču omogućuje pristup i čitanje proizvoljnih datoteka.

Ova ranjivost proizlazi iz args4j parsera koji automatski proširi sadržaj datoteke ako argument naredbene linije počinje znakom „@“.

CVE-2024-23898 – omogućuje izvršavanje naredbe u Command Lineu navođenjem žrtve da klikne zlonamjernu poveznicu.

Preuzmite zakrpe za navedene ranjivosti. Izdani su i savjeti u kojima su opisani različiti scenariji napada. Ako iz nekog razloga ne možete preuzeti zakrpe, opisani su i koraci za mitigaciju ranjivosti.

Izvor: bleepingcomputer.com