{"id":1152024,"date":"2024-01-25T12:49:49","date_gmt":"2024-01-25T12:49:49","guid":{"rendered":"https:\/\/teknomers.com\/es\/una-vulnerabilidad-critica-de-jenkins-expone-los-servidores-a-ataques-rce-parche-lo-antes-posible\/"},"modified":"2024-01-25T12:49:54","modified_gmt":"2024-01-25T12:49:54","slug":"una-vulnerabilidad-critica-de-jenkins-expone-los-servidores-a-ataques-rce-parche-lo-antes-posible","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/una-vulnerabilidad-critica-de-jenkins-expone-los-servidores-a-ataques-rce-parche-lo-antes-posible\/","title":{"rendered":"Una vulnerabilidad cr\u00edtica de Jenkins expone los servidores a ataques RCE: \u00a1parche lo antes posible!"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>25 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Vulnerabilidad\/Seguridad del software<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los mantenedores del software de automatizaci\u00f3n de integraci\u00f3n continua\/entrega e implementaci\u00f3n continuas (CI\/CD) de c\u00f3digo abierto, Jenkins, han resuelto nueve fallas de seguridad, incluido un error cr\u00edtico que, si se explota con \u00e9xito, podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo (RCE).<\/p>\n

El problema, al que se le asign\u00f3 el identificador CVE CVE-2024-23897<\/strong><\/a>se ha descrito como una vulnerabilidad de lectura de archivos arbitraria a trav\u00e9s de la interfaz de l\u00ednea de comando incorporada (CLI<\/a>)<\/p>\n

“Jenkins usa la biblioteca args4j para analizar argumentos y opciones de comandos en el controlador Jenkins cuando procesa comandos CLI”, afirman los mantenedores. dicho<\/a> en un aviso del mi\u00e9rcoles.<\/p>\n

“Este analizador de comandos tiene una funci\u00f3n que reemplaza un car\u00e1cter @ seguido de una ruta de archivo en un argumento con el contenido del archivo (expandAtFiles). Esta funci\u00f3n est\u00e1 habilitada de forma predeterminada y Jenkins 2.441 y anteriores, LTS 2.426.2 y anteriores no la deshabilitan. “.<\/p>\n

\"La<\/a><\/center><\/div>\n

Un actor de amenazas podr\u00eda aprovechar esta peculiaridad para leer archivos arbitrarios en el sistema de archivos del controlador Jenkins utilizando la codificaci\u00f3n de caracteres predeterminada del proceso del controlador Jenkins.<\/p>\n

Mientras que los atacantes con permiso “General\/Lectura” pueden leer archivos completos, aquellos que no lo tienen pueden leer las primeras tres l\u00edneas de los archivos dependiendo de los comandos CLI.<\/p>\n

Adem\u00e1s, la deficiencia podr\u00eda utilizarse como arma para leer archivos binarios que contengan claves criptogr\u00e1ficas, aunque con ciertas restricciones. Siempre que se puedan extraer los secretos binarios, Jenkins dice que podr\u00eda abrir la puerta a varios ataques.<\/p>\n