یک جفت آسیب پذیری امنیتی شدید در سرور اتوماسیون متن باز جنکینز فاش شده است که می تواند منجر به اجرای کد در سیستم های هدف شود.
این نقصها که بهعنوان CVE-2023-27898 و CVE-2023-27905 ردیابی میشوند، بر سرور جنکینز و مرکز بهروزرسانی تأثیر میگذارند و در مجموع توسط شرکت امنیت ابری Aqua، CorePlague نامگذاری شدهاند. تمام نسخه های جنکینز قبل از ۲٫۳۱۹٫۲ آسیب پذیر و قابل بهره برداری هستند.
این شرکت در گزارشی که با The Hacker News به اشتراک گذاشته شده است، میگوید: «استفاده از این آسیبپذیریها میتواند به یک مهاجم تایید نشده اجازه دهد تا کد دلخواه خود را روی سرور جنکینز قربانی اجرا کند، که به طور بالقوه منجر به به خطر افتادن کامل سرور جنکینز میشود».
کاستیها نتیجه نحوه پردازش پلاگینهای موجود از مرکز بهروزرسانی جنکینز است، در نتیجه به طور بالقوه عامل تهدید را قادر میسازد تا افزونهای را با بار مخرب آپلود کند و یک حمله اسکریپت بین سایتی (XSS) را آغاز کند.
آکوا گفت: «وقتی قربانی «مدیر پلاگین موجود» را روی سرور جنکینز خود باز میکند، XSS فعال میشود و به مهاجمان اجازه میدهد تا کد دلخواه را با استفاده از API کنسول اسکریپت روی سرور جنکینز اجرا کنند.
از آنجایی که این مورد نیز مربوط به XSS ذخیره شده است که در آن کد جاوا اسکریپت به سرور تزریق می شود، آسیب پذیری را می توان بدون نیاز به نصب افزونه یا حتی بازدید از URL پلاگین در وهله اول فعال کرد.
به طرز نگران کننده ای این نقصها میتوانند بر سرورهای Jenkins خود میزبان نیز تأثیر بگذارند و حتی در سناریوهایی که سرور بهطور عمومی از طریق اینترنت در دسترس نیست، مورد سوء استفاده قرار گیرد، زیرا مرکز بهروزرسانی عمومی جنکینز ممکن است «توسط مهاجمان تزریق شود».
با این حال، این حمله به این شرط است که افزونه سرکش با سرور جنکینز سازگار است و در بالای منوی اصلی در صفحه “مدیر پلاگین موجود” ظاهر می شود.
به گفته آکوا، این میتواند با «آپلود کردن افزونهای که شامل نام همه افزونهها و کلیدواژههای محبوب تعبیهشده در توضیحات است» تقلب شود، یا با ارسال درخواستهایی از نمونههای جعلی، تعداد دانلود افزونه را بهطور مصنوعی افزایش دهد.
پس از افشای مسئولانه در ۲۴ ژانویه ۲۰۲۳، وصله ها توسط جنکینز برای مرکز به روز رسانی و سرور منتشر شده است. به کاربران توصیه می شود برای کاهش خطرات احتمالی، سرور جنکینز خود را به آخرین نسخه موجود به روز کنند.