Jenkins divulga falhas de segurança que permiti ataques de execução de código

Jenkins CVE

As falhas, rastreadas como CVE-2023-27898 e CVE-2023-27905, afetam o servidor Jenkins e o Update Center, e foram batizadas coletivamente de CorePlague pela empresa de segurança em nuvem Aqua. Todas as versões do Jenkins anteriores a 2.319.2 são vulneráveis ​​e exploráveis.

“A exploração dessas vulnerabilidades pode permitir que um invasor não autenticado execute código arbitrário no servidor Jenkins da vítima, potencialmente levando a um comprometimento completo do servidor Jenkins”, disse a empresa em um relatório compartilhado.

As deficiências são o resultado de como o Jenkins processa os plug-ins disponíveis no Update Center, permitindo potencialmente que um agente de ameaça carregue um plug-in com uma carga maliciosa e acione um ataque de script entre sites (XSS).

“Uma vez que a vítima abre o ‘ Disponible Plugin Manager ‘ em seu servidor Jenkins, o XSS é acionado, permitindo que os invasores executem código arbitrário no servidor Jenkins utilizando a API Script Console “, disse Aqua.

Como também é um caso de XSS armazenado em que o código JavaScript é injetado no servidor, a vulnerabilidade pode ser ativada sem a necessidade de instalar o plug-in ou até mesmo visitar a URL do plug-in em primeiro lugar.

O problema é que as falhas também podem afetar os servidores Jenkins auto-hospedados e serem exploradas mesmo em cenários em que o servidor não é acessível publicamente pela Internet, pois o Jenkins Update Center público pode ser “injetado por invasores”.

O ataque, no entanto, baseia-se no pré-requisito de que o plug-in não autorizado seja compatível com o servidor Jenkins e apareça no topo do feed principal na página “Available Plugin Manager”.

Isso, disse Aqua, pode ser manipulado “carregando um plug-in que contém todos os nomes de plug-in e palavras-chave populares incorporadas à descrição” ou aumentando artificialmente a contagem de downloads do plug-in enviando solicitações de instâncias falsas.

Após a divulgação responsável em 24 de janeiro de 2023, os patches foram lançados por Jenkins para o Update Center e o servidor. Recomenda-se que os usuários atualizem seu servidor Jenkins para a versão mais recente disponível para mitigar possíveis riscos.