El software Jenkins, una herramienta de automatización de integración continua/distribución continua (CI/CD) de código abierto, ha solucionado 9 problemas de seguridad, incluyendo una vulnerabilidad crítica de ejecución remota de código (RCE). Este problema, identificado como CVE-2024-23897, se refiere a una vulnerabilidad arbitraria de lectura de archivos a través de la interfaz de línea de comandos (CLI) integrada.
El ataque podría permitir que un actor malintencionado lea archivos arbitrarios en el sistema de archivos del controlador Jenkins utilizando la codificación de caracteres predeterminada del proceso del controlador. Si bien aquellos con permisos «Overall/Read» pueden leer archivos enteros, aquellos sin permisos solo pueden leer las primeras tres líneas de los archivos según los comandos de CLI.
El problema ha sido solucionado en la versión 2.442 de Jenkins y también en LTS 2.426.3 mediante la desactivación de la función del analizador de comandos que permitía la explotación de esta vulnerabilidad de seguridad. El investigador de seguridad Yaniv Nizry ha recibido acreditación por el descubrimiento y reporte de esta falla.
Para solucionar el problema provisionalmente hasta que se pueda aplicar el parche, se recomienda desactivar el acceso al CLI. Jenkins había solucionado previamente varias vulnerabilidades de seguridad denominadas CorePlague (CVE-2023-27898 y CVE-2023-27905) que podrían permitir la ejecución de código en sistemas específicos.
En resumen, Jenkins ha abordado exitosamente un problema crítico de ejecución remota de código en su herramienta de CI/CD de código abierto mediante una actualización de seguridad en su versión 2.442 y LTS 2.426.3. Es importante tomar medidas provisionales para desactivar el acceso al CLI hasta la aplicación del parche y también se debería tener en cuenta la solución previa a las vulnerabilidades de seguridad CorePlague.