CVE

Vulnerabilidad en Jenkins y LTS (CVE-2024-23897)

Severidad:
CRÍTICA
Type:
No Disponible / Otro tipo
Fecha de publicación:
24/01/2024
Última modificación:
07/03/2024

Descripción

Jenkins 2.441 y anteriores, LTS 2.426.2 y anteriores no desactivan una función de su analizador de comandos CLI que reemplaza un carácter '@' seguido de una ruta de archivo en un argumento con el contenido del archivo, lo que permite a atacantes no autenticados leer archivos arbitrarios en el sistema de archivos del controlador Jenkins.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jenkins:jenkins:*:*:*:*:lts:*:*:* 2.426.3 (excluyendo)
cpe:2.3:a:jenkins:jenkins:*:*:*:*:-:*:*:* 2.442 (excluyendo)