В системе непрерывной интеграции Jenkins нашли две опасные уязвимости, которые могут привести к выполнению кода на затронутых системах. Пользователям рекомендуют обновить Jenkins-серверы, чтобы избежать возможных кибератак.
Бреши отслеживаются под идентификаторами CVE-2023-27898 и CVE-2023-27905, но специалисты компании Aqua объединили их под одним именем — CorePlague. Проблемы затрагивают серверы Jenkins и Update Center, уязвимы все версии до 2.319.2.
«Эксплуатация выявленных брешей позволяет атакующему выполнить код на сервере жертвы. Таким образом, злоумышленник может получить полный контроль над целевым сервером», — пишет Aqua в отчёте.
Баги существуют из-за способа обработки плагинов Jenkins, доступных в Update Center. В результате киберпреступник может загрузить плагин с вредоносной нагрузкой и запустить атаку вида XSS (межсайтовый скриптинг).
«Как только жертва откроет “Available Plugin Manager“ на сервере Jenkins, запустится XSS, которая позволит атакующим выполнить код с помощью API Script Console», — объясняют специалисты Aqua.
Поскольку это разновидность «хранимой XSS», JavaScript внедряется на сервер без необходимости устанавливать плагин или переходить по URL. Разработчики уже подготовили патчи, с установкой которых рекомендуют не затягивать.
