Уязвимость плагина Jenkins Script Security Plugin связана с ошибками при обработке данных конструктором карт. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выйти из изолированной программной среды и выполнить произвольный код в контексте JVM контроллера Jenkins
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование антивирусных средств защиты для контроля загружаемых файлов.
Использование рекомендаций:
Для Jenkins Script Security Plugin:
https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-3016
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-24422
| Балл | 9 — высокая опасность |