Jenkins のメンテナは、認証されていない攻撃者がリモートから Jenkins で任意のコードを実行できる可能性があるツールの 2 つのセキュリティ上の欠陥を修正しました。
1 つ目の欠陥は、権限のない攻撃者がファイル全体を読み取ることを可能にする重大な欠陥です。
その他の脆弱性には、Jenkins の CLI への非特権アクセスが許可されることが含まれており、攻撃者は「WebSocket」エンドポイントを介してアクセスできます。
Jenkins は、Jenkins コントローラーのコマンド引数とオプションを解析するために使用されます。
「2023年の市場シェアは44%で、セキュリティの潜在的な影響は大きい」と勧告は述べている。
コメント