CSIRT Toscana Aggiornamenti di sicurezza per Jenkins Core (AL01/240126/CSIRT-ITA) – Aggiornamento
Data:
26 Marzo 2024 14:18
Data di creazione: 26/01/2024 10:46
Sintesi
Rilasciato il Jenkins Security Advisory di gennaio che risolve 2 vulnerabilità, di cui una con gravità “critica”, in Jenkins (Core) weekly e LTS.
Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-23897 risulta disponibile in rete.
Note (aggiornamento del 26/03/2024): la vulnerabilità CVE-2024-23897 risulta essere sfruttata attivamente in rete.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (72,82/100)1.
Tipologia
- Remote Code Execution
- Arbitrary File Read
Prodotti e versioni affette
Jenkins Core
- weekly, versioni precedenti alla 2.442
- LTS, versioni precedenti alla 2.426.3
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti interessati seguendo le indicazioni riportate nel bollettino di sicurezza, disponibile al link presente nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:
Riferimenti
https://www.jenkins.io/security/advisory/2024-01-24/
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.