Se han detectado dos vulnerabilidades en Jenkins, incluyendo una de severidad crítica que podrían ser explotadas para la ejecución de código y la elevación de privilegios en sistemas afectados.
Productos afectados
- Jenkins Semanal versión 2.470 y anteriores.
- Jenkins LTS versiones 2.452.3 y anteriores.
Impacto
La vulnerabilidad crítica se identifica como CVE-2024-43044: con una puntuación en CVSSv3 de 9.0, y podría permitir a un actor malicioso acceder a información sensible almacenada en el sistema de archivos del controlador Jenkins, lo que podría comprometer la seguridad de los datos y la integridad del sistema.
La otra vulnerabilidad de severidad media se identifica como CVE-2024-43045: con una puntuación en CVSSv3 de 5.4, y podría permitir el acceso no autorizado a «Mis vistas» de otros usuarios o de lectura para acceder a información sensible.
Recomendación:
Actualizar a la última versión disponible del producto afectado desde la página web oficial.
Referencia:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-43045
https://www.jenkins.io/security/advisory/2024-08-07/#SECURITY-3430
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-43044