هشدار امنیتی جنکینز: نقص‌های امنیتی جدید می‌تواند به حملات اجرای کد اجازه دهد

یک جفت آسیب پذیری امنیتی شدید در سرور اتوماسیون متن باز جنکینز فاش شده است که می تواند منجر به اجرای کد در سیستم های هدف شود.

این نقص‌ها که به‌عنوان CVE-2023-27898 و CVE-2023-27905 ردیابی می‌شوند، بر سرور جنکینز و مرکز به‌روزرسانی تأثیر می‌گذارند و در مجموع توسط شرکت امنیت ابری Aqua، CorePlague نامگذاری شده‌اند. تمام نسخه های جنکینز قبل از ۲٫۳۱۹٫۲ آسیب پذیر و قابل بهره برداری هستند.

این شرکت در گزارشی که با The Hacker News به اشتراک گذاشته شده است، می‌گوید: «استفاده از این آسیب‌پذیری‌ها می‌تواند به یک مهاجم تایید نشده اجازه دهد تا کد دلخواه خود را روی سرور جنکینز قربانی اجرا کند، که به طور بالقوه منجر به به خطر افتادن کامل سرور جنکینز می‌شود».

کاستی‌ها نتیجه نحوه پردازش پلاگین‌های موجود از مرکز به‌روزرسانی جنکینز است، در نتیجه به طور بالقوه عامل تهدید را قادر می‌سازد تا افزونه‌ای را با بار مخرب آپلود کند و یک حمله اسکریپت بین سایتی (XSS) را آغاز کند.

آکوا گفت: «وقتی قربانی «مدیر پلاگین موجود» را روی سرور جنکینز خود باز می‌کند، XSS فعال می‌شود و به مهاجمان اجازه می‌دهد تا کد دلخواه را با استفاده از API کنسول اسکریپت روی سرور جنکینز اجرا کنند.

از آنجایی که این مورد نیز مربوط به XSS ذخیره شده است که در آن کد جاوا اسکریپت به سرور تزریق می شود، آسیب پذیری را می توان بدون نیاز به نصب افزونه یا حتی بازدید از URL پلاگین در وهله اول فعال کرد.

به طرز نگران کننده ای این نقص‌ها می‌توانند بر سرورهای Jenkins خود میزبان نیز تأثیر بگذارند و حتی در سناریوهایی که سرور به‌طور عمومی از طریق اینترنت در دسترس نیست، مورد سوء استفاده قرار گیرد، زیرا مرکز به‌روزرسانی عمومی جنکینز ممکن است «توسط مهاجمان تزریق شود».

با این حال، این حمله به این شرط است که افزونه سرکش با سرور جنکینز سازگار است و در بالای منوی اصلی در صفحه “مدیر پلاگین موجود” ظاهر می شود.

به گفته آکوا، این می‌تواند با «آپلود کردن افزونه‌ای که شامل نام همه افزونه‌ها و کلیدواژه‌های محبوب تعبیه‌شده در توضیحات است» تقلب شود، یا با ارسال درخواست‌هایی از نمونه‌های جعلی، تعداد دانلود افزونه را به‌طور مصنوعی افزایش دهد.

پس از افشای مسئولانه در ۲۴ ژانویه ۲۰۲۳، وصله ها توسط جنکینز برای مرکز به روز رسانی و سرور منتشر شده است. به کاربران توصیه می شود برای کاهش خطرات احتمالی، سرور جنکینز خود را به آخرین نسخه موجود به روز کنند.

پست‌های مشابه

Leave a Comment