CVE-2024-23897: удаленное выполнение кода в Jenkins
👾 В ПО Jenkins обнаружена критическая уязвимость, позволяющая удаленное выполнение кода. Она связана с неправильной обработкой символа «@» в командах Jenkins CLI.
✅ Эксплуатация этой уязвимости дает злоумышленникам доступ к файлам на сервере и возможность запустить вредоносный код. Также можно получить доступ к секретным ключам и перехватить контроль над инфраструктурой.
🥳 Баг устранен в последних версиях Jenkins путем отключения проблемного функционала синтаксического разбора команд. Пока обновление не установлено, рекомендуется заблокировать доступ к интерфейсу командной строки.
#devops #jenkins #уязвимость #кибербезопасность
@ZerodayAlert
#devops #jenkins #уязвимость #кибербезопасность
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
CVE-2024-23897: захват сервера Jenkins с помощью одного символа
Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами.