「Jenkins」の脆弱性悪用に注意喚起 - 米当局

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は現地時間8月19日、脆弱性1件を「悪用が確認された脆弱性カタログ（KEV）」に追加した。

ソフトウェア開発の自動化ツール「Jenkins」において1月に公表、修正されたコマンドラインインターフェイスにおけるパストラバーサルの脆弱性「CVE-2024-23897」の悪用が確認されたとして、同リストへ追加したもの。

脆弱性を悪用することで認証なしに任意のファイルを読み取ることが可能。条件によってはリモートよりコードを実行されるおそれがある。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル（Critical）」とレーティングされている。

「Jenkins 2.442」「同2.426.3」にて修正された。「Git server Plugin」「GitLab Branch Source Plugin」「Matrix Project Plugin」「Qualys Policy Compliance Scanning Connector Plugin」「Red Hat Dependency Analytics Plugin」においても脆弱性を修正したアップデートが提供されている。

「KEV」へ追加されたことで、米行政機関では指定期間内に同脆弱性へ対処する義務が生じる。また脆弱性そのものは広く悪用されるおそれがあり、利用者は注意する必要がある。

（Security NEXT - 2024/08/20 ） ツイート

PR

関連記事

日英、IoT製品セキュラベル制度「JC-STAR」「PSTI法」で相互承認
患者の診療データ含むUSBメモリが所在不明 - 多根総合病院
グループシステムにサイバー攻撃、影響範囲を調査 - 岩谷産業
企業向けセミナー申込者へのメールで誤送信 - 愛知県
ランサム被害で障害、出荷は再開 - 日本スウェージロックFST
Oracleのエッジクラウド向けツールキットに深刻な脆弱性
「jsPDF」に複数脆弱性 - PDF生成時にスクリプト埋め込みのおそれ
「ScreenConnect」に暗号鍵不正取得のおそれがある脆弱性
Apple、iOSやmacOS向けにセキュリティアップデートをリリース
申請関連書類が所在不明、オフィス転換工事後に判明 - 東京都