Jenkins Sicherheitswarnung vom 2. Oktober 2024

Jenkins, ein beliebter Continious Delivery Dienst hat am 2.10.2024 eine Sicherheitswarnung zu mehreren Schwachstellen in Jenkins und verwandten Plugins wurde veröffentlicht:

  • SECURITY-3451 / CVE-2024-47803: Mittlere Schwere. Mehrzeilige Geheimnisse werden durch Fehlernachrichten exponiert. Problem behoben in Jenkins 2.479 und LTS 2.462.3.
  • SECURITY-3448 / CVE-2024-47804: Mittlere Schwere. Umgehung der Einschränkungen bei der Erstellung von Elementen über Jenkins CLI oder REST API. Behoben in Jenkins 2.479 und LTS 2.462.3.
  • SECURITY-3373 / CVE-2024-47805: Mittlere Schwere. Enthüllung verschlüsselter Zugangsdaten über REST API oder CLI im Credentials Plugin. Behoben in Version 1381.v2c3a_12074da_b_.
  • SECURITY-3441 (1 & 2) / CVE-2024-47806, CVE-2024-47807: Hohe Schwere. OpenId Connect Authentication Plugin validiert nicht die aud und iss Claims von ID-Token. Behoben in Version 4.355.v3a_fb_fca_b_96d4.

Nutzer sollten dringend auf die gepatchten Versionen aktualisieren, um diese Schwachstellen zu beheben.

Related Posts

LearnPress – WordPress LMS Plugin: Unauthentifizierte SQL Injection (CVE-2024-8522)

Am 11. September 2024 wurde eine kritische Sicherheitslücke (CVE-2024-8522) im LearnPress – WordPress LMS Plugin entdeckt, die alle Versionen bis einschließlich 4.2.7 betrifft. Die Schwachstelle ermöglicht eine SQL Injection über den Parameter c_only_fields des /wp-json/learnpress/v1/courses REST API Endpoints. Aufgrund unzureichender Absicherung der Benutzereingaben können Angreifer ohne Authentifizierung zusätzliche SQL-Befehle einschleusen und sensible Daten aus der Datenbank extrahieren.

Read More

Kritische RCE Lücke in Linux Druckerservice CUPS

Am 26. September 2024 veröffentlichte der Sicherheitsexperte Simone Margaritelli einen Blogbeitrag, in dem mehrere Schwachstellen in CUPS beschrieben wurden, von denen eine als kritisch eingestuft wird. Angreifer können die IPP-URLs bestehender Drucker durch eine bösartige URL ersetzen, was potenziell zur Ausführung beliebiger Befehle führen kann.

Read More

Unauthenticated Stored XSS-Schwachstelle im LiteSpeed Cache Plugin betrifft über 6 Millionen Websites

Am 2. Oktober 2024 wurde eine schwerwiegende Sicherheitslücke im LiteSpeed Cache Plugin (CVE-2024-47374) bekannt, die über 6 Millionen Websites betrifft. Die Schwachstelle erlaubt es einem nicht authentifizierten Angreifer, eine Stored XSS-Attacke durchzuführen, um sensible Informationen zu stehlen oder Privilegien auf der WordPress-Seite zu eskalieren. Diese Schwachstelle wurde in der Version 6.5.1 des Plugins behoben.

Read More