Jenkins in Pericolo: Una vulnerabilità grave espone i file del sistema!

Redazione RHC : 25 Gennaio 2024 19:00

Jenkins dispone di un’interfaccia a riga di comando (CLI) incorporata, per accedere al sistema da uno script o da un ambiente shell. Jenkins utilizza la libreria args4j per analizzare gli argomenti e le opzioni dei comandi sul controller Jenkins durante l’elaborazione dei comandi CLI. 

Questo parser di comandi ha una funzionalità che sostituisce un carattere seguito da un percorso di file in un argomento chiamato expandAtFiles. Questa funzionalità è abilitata per impostazione predefinita in Jenkins 2.441 e nelle versioni LTS 2.426.2 e versioni precedenti.

Questo consente agli aggressori di leggere file arbitrari sul file system del controller Jenkins utilizzando la codifica dei caratteri predefinita del processo del controller.

• Gli aggressori con autorizzazione Generale/Lettura possono leggere interi file.
• Gli aggressori senza autorizzazione Generale/Lettura possono leggere le prime righe dei file. Il numero di righe che possono essere lette dipende dai comandi CLI disponibili. 

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Al momento della pubblicazione di questo avviso, il team di sicurezza di Jenkins ha trovato il modo di leggere le prime tre righe di file nelle recenti versioni di Jenkins senza che fosse installato alcun plug-in e non ha identificato alcun plug-in che potrebbe aumentare il numero di righe.

È anche possibile leggere file binari contenenti chiavi crittografiche utilizzate per varie funzionalità Jenkins, con alcune limitazioni. 

Il team di sicurezza Jenkins ha confermato una serie di possibili attacchi oltre alla lettura del contenuto di tutti i file con un percorso noto. 

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli