يكشف Jenkins عن 34 ثغرة أمنية في مكونات إضافية متعددة

يكشف Jenkins عن 34 ثغرة أمنية في مكونات إضافية متعددة

في يوم الخميس، أعلن فريق Jenkins الأمني ​​عن 34 ثغرة أمنية تؤثر على 29 مكونًا إضافيًا لخادم أتمتة Jenkins مفتوح المصدر ، 29 من الأخطاء لا تزال في انتظار التصحيح. تعد Jenkins منصة شائعة للغاية (تدعم أكثر من 1700 مكون إضافي ) تستخدمها الشركات في جميع أنحاء العالم لبناء البرامج واختبارها ونشرها. تتراوح الدرجات الأساسية لـ CVSS  من منخفضة إلى عالية الخطورة، ووفقًا لإحصائيات Jenkins ، تحتوي المكونات الإضافية المتأثرة على أكثر من 22000 عملية تثبيت. تتضمن القائمة الكاملة للعيوب التي لم يتم تصحيحها بعد، أخطاء XSS و Stored XSS وأخطاء Cross-Site Request Forgery (CSRF) وفحوصات الأذونات المفقودة أو غير الصحيحة ، بالإضافة إلى كلمات المرور والأسرار ومفاتيح واجهة برمجة التطبيقات والرموز المميزة المخزنة في نص عادي. استنادًا إلى بيانات Shodan ، يوجد حاليًا أكثر من 144000 خادم Jenkins معرض للإنترنت يمكن استهدافه في الهجمات في حالة تشغيل مكون إضافي غير مصحح. بينما قام فريق Jenkins بتصحيح أربعة من المكونات الإضافية (على سبيل المثال، GitLab، وطلبات البرنامج المساعد ، و TestNG Results ، و XebiaLabs XL Release) …