Redazione RHC : 25 Gennaio 2024 19:00
Jenkins dispone di un’interfaccia a riga di comando (CLI) incorporata, per accedere al sistema da uno script o da un ambiente shell. Jenkins utilizza la libreria args4j per analizzare gli argomenti e le opzioni dei comandi sul controller Jenkins durante l’elaborazione dei comandi CLI.
Questo parser di comandi ha una funzionalità che sostituisce un carattere seguito da un percorso di file in un argomento chiamato expandAtFiles. Questa funzionalità è abilitata per impostazione predefinita in Jenkins 2.441 e nelle versioni LTS 2.426.2 e versioni precedenti.
Questo consente agli aggressori di leggere file arbitrari sul file system del controller Jenkins utilizzando la codifica dei caratteri predefinita del processo del controller.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Al momento della pubblicazione di questo avviso, il team di sicurezza di Jenkins ha trovato il modo di leggere le prime tre righe di file nelle recenti versioni di Jenkins senza che fosse installato alcun plug-in e non ha identificato alcun plug-in che potrebbe aumentare il numero di righe.
È anche possibile leggere file binari contenenti chiavi crittografiche utilizzate per varie funzionalità Jenkins, con alcune limitazioni.
Il team di sicurezza Jenkins ha confermato una serie di possibili attacchi oltre alla lettura del contenuto di tutti i file con un percorso noto.
RedazioneSembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...
CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l...
Solamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati al...
Il team di ricerca di Trustwave SpiderLabs ha identificato una nuova ondata di attacchi EncryptHub che combinano l’errore umano e lo sfruttamento di una vulnerabilità nella Microsoft Manag...
Gli aggressori hanno iniziato a utilizzare un trucco insolito per mascherare i link di phishing, facendoli apparire come indirizzi di Booking.com. La nuova campagna malware utilizza il carattere hirag...
