Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

CVE-2024-23897

PUBLISHED 19.08.2024

CNA: jenkins

Обновлено: 15.04.2024

Jenkins 2.441 and earlier, LTS 2.426.2 and earlier does not disable a feature of its CLI command parser that replaces an '@' character followed by a file path in an argument with the file's contents, allowing unauthenticated attackers to read arbitrary files on the Jenkins controller file system.

БДУ ФСТЭК

Идентификатор	Описание
BDU:2024-00750	Уязвимость библиотеки args4j встроенного интерфейса командной строки (CLI) сервера автоматизации Jenkins, позволяющая нарушителю выполнить произвольный код

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20240126-5	26.01.2024	Выполнение произвольного кода в Jenkins и Jenkins LTS

Доп. Информация

Product Status

Jenkins

Product:

Jenkins

Vendor:

Jenkins Project

Default status:

affected

Версии:

Затронутые версии	Статус
Наблюдалось в версиях от 0 до 1.606	unaffected
Наблюдалось в версиях от 2.442 до *	unaffected
Наблюдалось в версиях от 2.426.3 до 2.426.*	unaffected
Наблюдалось в версиях от 2.440.1 до 2.440.*	unaffected

Ссылки

https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
https://www.sonarsource.com/blog/excessive-expansion-uncovering-critical-security-vulnerabilities-in-jenkins/
http://www.openwall.com/lists/oss-security/2024/01/24/6
http://packetstormsecurity.com/files/176839/Jenkins-2.441-LTS-2.426.3-CVE-2024-23897-Scanner.html
http://packetstormsecurity.com/files/176840/Jenkins-2.441-LTS-2.426.3-Arbitrary-File-Read.html

CVE Program Container

Обновлено: 19.08.2024

SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
https://www.sonarsource.com/blog/excessive-expansion-uncovering-critical-security-vulnerabilities-in-jenkins/
http://www.openwall.com/lists/oss-security/2024/01/24/6
http://packetstormsecurity.com/files/176839/Jenkins-2.441-LTS-2.426.3-CVE-2024-23897-Scanner.html
http://packetstormsecurity.com/files/176840/Jenkins-2.441-LTS-2.426.3-Arbitrary-File-Read.html
https://www.vicarius.io/vsociety/posts/the-anatomy-of-a-jenkins-vulnerability-cve-2024-23897-revealed-1

CISA ADP Vulnrichment

Обновлено: 19.08.2024

Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

CVSS

Оценка	Severity	Версия	Базовый вектор
9.8	CRITICAL	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

SSVC

Exploitation	Automatable	Technical Impact	Версия	Дата доступа
active	Yes	total	2.0.3	19.08.2024

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - CVE - CVE-2024-23897

CVE-2024-23897

CNA: jenkins

БДУ ФСТЭК

НКЦКИ уязвимости

Доп. Информация

Product Status

Ссылки

CVE Program Container

Ссылки

CISA ADP Vulnrichment

CVSS

SSVC