[TLP:CLEAR] Jenkins weekly a LTS opravujú 2 zraniteľnosti
Jenkins opravuje 2 zraniteľnosti verziou 2.471 v produkte Jenkins weekly a verziou 2.452.4 a 2.462.1 v produkte Jenkins LTS [1].
Autentizovanému vzdialenému útočníkovi s právami Overall/Read je umožnené neoprávnene zobrazovať pohľady ostatných používateľov a útočníkovi s právami View/Configure a View/Delete je umožnené tieto pohľady aj meniť [1].
Zraniteľnosť sa nachádza v produktoch:
- Jenkins weekly vo verziách <2.471
- Jenkins LTS vo verziách <2.452.4
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Viac informácií:
- CVE-2024-43045 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 8. 2024.
Útočníkovi je umožnené pristupovať k ľubovolným súborom typu JAR zo súborového systému stroja. To môže viesť k vzdialenému spúšťaniu kódu neautentizovaným útočníkom v prípade podstrčenia škodlivého súboru [1].
Zraniteľnosť sa nachádza v produktoch:
- Jenkins weekly vo verziách <2.471
- Jenkins LTS vo verziách <2.452.4
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-43044 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 8. 2024.