Jenkins CVE-2024-23897

Jenkins — программная система с открытым исходным кодом на Java, предназначенная для обеспечения процесса непрерывной интеграции программного обеспечения.

25 января 2024 для версий Jenkins 2.441 и более ранних, а также в LTS 2.426.2 и ниже была выявлена уязвимость чтения произвольного файла через встроенный интерфейс командной строки (Jenkins CLI), которой был присвоен идентификатор CVE-2024-23897.

Особенностью парсера команд, использующегося в Jenkins, является замена символа "@" на содержимое файла, если путь к файлу следует за этим символом в аргументе команды. Эта функция активирована по умолчанию в версиях указанных выше.

Читать далее

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Редакция Spark.ru: Всемирная история торговли в стиле Сатирикона: часть 14. «Русская Аляска»
• Под другим углом: 3 сентября в Москве состоится Hybrid Conf'25
• Spark_news: В России готовится к выходу серия конструкторов, созданных по мотивам популярного мультфильма «Смешарики»
• Appbooster: «В ASO нет точных формул»: можно ли заранее просчитать результат оптимизации?
• SIEM. Часть 2. Технический разбор KUMA, Радар, UserGate и других
• Как правильно обезличить ПДн
• Как мы делаем SOC as a service: привлекаем большие данные и собственный SIEM на помощь клиентам
• Хроники целевых атак в 1 полугодии 2025: аналитика, факты и рекомендации
• Августовский «В тренде VM»: уязвимости в Microsoft Windows и SharePoint
• Пентест на автопилоте: что доверить роботам, а что — нет?