В четверг группа безопасности Jenkins объявила о 34 уязвимостях безопасности, затрагивающих 29 плагинов для сервера автоматизации Jenkins с открытым исходным кодом, 29 из которых относятся к нулевым дням, ожидающим исправления.
Jenkins — очень популярная платформа (с поддержкой более 1700 подключаемых модулей), используемая предприятиями по всему миру для создания, тестирования и развертывания программного обеспечения.
Базовые оценки CVSS нулевого дня варьируются от низкой до высокой серьезности, и, согласно статистике Дженкинса, затронутые плагины имеют в общей сложности более 22 000 установок.
Полный список недостатков, которые еще предстоит исправить, включает ошибки XSS, Stored XSS, подделки межсайтовых запросов (CSRF), отсутствующие или неправильные проверки разрешений, а также пароли, секреты, ключи API и токены, хранящиеся в виде простого текста.
К счастью, большинство опасных из них, нулевые дни с высокой степенью серьезности, требуют взаимодействия с пользователем, чтобы использовать их в атаках низкой сложности удаленными злоумышленниками с низкими привилегиями.
Согласно данным Shodan, в настоящее время существует более 144 000 серверов Jenkins, открытых в Интернете, которые могут стать мишенью для атак при использовании неисправленного плагина.