Vulnerabilidad en Jenkins 17.v786074c9fce7 (CVE-2024-52554)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/11/2024

Última modificación:

03/10/2025

Descripción

El complemento de anulación de versión de librería compartida de Jenkins 17.v786074c9fce7 y versiones anteriores declara que las anulaciones de librería con ámbito de carpeta son confiables, de modo que no se ejecutan en el entorno aislado de seguridad de script, lo que permite a los atacantes con permiso de Elemento/Configurar en una carpeta configurar una anulación de librería con ámbito de carpeta que se ejecuta sin protección de entorno aislado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:jenkins:shared_library_version_override::::::jenkins::*		17.v786074c9fce7 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.jenkins.io/security/advisory/2024-11-13/#SECURITY-3466