A falha de raíz é representada pelo CVE-2024-43044, de leitura de ficheiros, e que permitia ao atacante com permissões de agente/conexão ler ficheiros do sistema de controlo de ficheiros do jenkins, acedendo a dados confidenciais e, dessa forma, desencadear mais ataques, incluindo a execução de código.

Para que os agentes executem objetos Java enviados pelo controlador, a livraria permite que os agentes carreguem classes e recursos de classloader do controlador.

Através da API Channel#preloadJa, os plugins do Jenkins podem usar o remoting para enviar ficheiros jar completos além de ficheiros de recurso e de classe.

Usando o método `ClassLoaderProxy#fetchJar}, nessa livraria remota, os processos de agente podem ler ficheiros arbitrários.

Versões afetadas

Jenkins weekly até e incluindo 2.470

Jenkins LTS até e incluindo 2.452.3

Solução

Jenkins weekly deve ser atualizado para a versão 2.471

Jenkins LTS deve ser atualizado para a versão 2.452.4 or 2.462.1

Advisory oficial: https://www.jenkins.io/security/advisory/2024-08-07/