「Jenkins」の脆弱性悪用に注意喚起 - 米当局
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は現地時間8月19日、脆弱性1件を「悪用が確認された脆弱性カタログ(KEV)」に追加した。
ソフトウェア開発の自動化ツール「Jenkins」において1月に公表、修正されたコマンドラインインターフェイスにおけるパストラバーサルの脆弱性「CVE-2024-23897」の悪用が確認されたとして、同リストへ追加したもの。
脆弱性を悪用することで認証なしに任意のファイルを読み取ることが可能。条件によってはリモートよりコードを実行されるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
「Jenkins 2.442」「同2.426.3」にて修正された。「Git server Plugin」「GitLab Branch Source Plugin」「Matrix Project Plugin」「Qualys Policy Compliance Scanning Connector Plugin」「Red Hat Dependency Analytics Plugin」においても脆弱性を修正したアップデートが提供されている。
「KEV」へ追加されたことで、米行政機関では指定期間内に同脆弱性へ対処する義務が生じる。また脆弱性そのものは広く悪用されるおそれがあり、利用者は注意する必要がある。
(Security NEXT - 2024/08/20 )
ツイート
関連リンク
PR
関連記事
「MS Edge」にアップデート - 「クリティカル」脆弱性に対処
Cisco、セキュリティアドバイザリ15件を公開
サポート詐欺被害で個人情報流出の可能性 - ウエルシア薬局
保育料認定の現況届に別人の文書を同封 - 福岡市
イベント申込者へのメールで誤送信、メアド流出 - 群馬県
共済契約の台帳が所在不明、解約増加受けた調査で判明 - JAなのはな
スマホのセキュ対策、80代の約4割が「何も行っていない」
ウェブホスト管理ツール「CyberPanel」に脆弱性 - ランサムウェアが悪用
10月の脆弱性悪用警告は17件、前月の約3分の2に - 米CISA
リコー製プリンタや複合機など142機種に深刻なRCE脆弱性