प्लेटफ़ॉर्म
jenkins
घटक
org.jenkins-ci.main:jenkins-core
में ठीक किया गया
2.541.1
2.555
CVE-2026-33001 is an Arbitrary File Access vulnerability discovered in Jenkins Core. This flaw allows attackers to write files to arbitrary locations on the Jenkins controller's filesystem, potentially leading to malicious script deployment or plugin installation. The vulnerability affects versions of Jenkins Core up to and including 2.99, but is resolved in version 2.555.
Jenkins में CVE-2026-33001 भेद्यता संस्करण 2.554 और पहले के संस्करणों और LTS संस्करण 2.541.2 और पहले के संस्करणों को प्रभावित करती है। यह .tar और .tar.gz अभिलेखागार के निष्कर्षण के दौरान प्रतीकात्मक लिंक को सुरक्षित रूप से संभालने में विफलता के कारण होता है। Item/Configure अनुमतियों वाले या एजेंट प्रक्रियाओं को नियंत्रित करने में सक्षम एक हमलावर, अभिलेखागार को हेरफेर करके फ़ाइल सिस्टम पर मनमाना स्थानों पर फ़ाइलें लिख सकता है, जो केवल Jenkins को चलाने वाले उपयोगकर्ता के फ़ाइल सिस्टम एक्सेस अनुमतियों द्वारा सीमित है। यह हमलावरों को नियंत्रक पर दुर्भावनापूर्ण स्क्रिप्ट या प्लगइन्स तैनात करने की अनुमति दे सकता है, जिससे संपूर्ण CI/CD पाइपलाइन से समझौता हो सकता है।
यह भेद्यता चिंताजनक है क्योंकि हमलावर इसे Jenkins में अपलोड किए गए दुर्भावनापूर्ण .tar या .tar.gz फ़ाइलों के माध्यम से इसका फायदा उठा सकते हैं। यदि किसी हमलावर के पास Jenkins के भीतर आइटम बनाने या संशोधित करने की क्षमता है (उदाहरण के लिए, Item/Configure अनुमतियों के माध्यम से), तो वे एक दुर्भावनापूर्ण अभिलेखागार अपलोड कर सकते हैं जो निष्कर्षण पर अप्रत्याशित स्थानों पर फ़ाइलें लिखेगा। इसमें महत्वपूर्ण कॉन्फ़िगरेशन फ़ाइलों को ओवरराइट करना या बिल्ड या तैनाती के दौरान निष्पादित होने वाले दुर्भावनापूर्ण कोड को स्थापित करना शामिल हो सकता है। अभिलेखागार निष्कर्षण की जटिलता शोषण का पता लगाना मुश्किल बना सकती है।
Organizations heavily reliant on Jenkins for continuous integration and delivery are particularly at risk. Environments with lax file system permissions for the Jenkins user, or those utilizing Jenkins agents with broad access privileges, face a heightened threat. Shared hosting environments where multiple users have access to the Jenkins instance are also vulnerable.
• linux / server:
find /var/lib/jenkins/.jenkins/war/WEB-INF/lib -name '*.jar' -print0 | xargs -0 grep -i 'org.jenkins-ci.main:jenkins-core'• java / supply-chain: Examine Jenkins plugin dependencies for versions prior to 2.555. Check for unusual file creation patterns in Jenkins logs. • generic web: Monitor Jenkins access logs for unusual file upload activity, particularly involving .tar and .tar.gz archives.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.12% (31% शतमक)
CVSS वेक्टर
सुधार Jenkins को संस्करण 2.555 या बाद के संस्करण में अपग्रेड करना है। यह अपडेट निष्कर्षण प्रक्रिया के दौरान प्रतीकात्मक लिंक के सत्यापन को सख्त करके भेद्यता को ठीक करता है। इसके अतिरिक्त, Jenkins द्वारा फ़ाइलों को लिखे जाने वाले निर्देशिकाओं के लिए फ़ाइल सिस्टम एक्सेस अनुमतियों की समीक्षा करना महत्वपूर्ण है, यह सुनिश्चित करना कि केवल अधिकृत उपयोगकर्ताओं को ही पहुंच प्राप्त है। Jenkins के भीतर उपयोगकर्ता अनुमतियों को सीमित करना और एजेंट एक्सेस को प्रतिबंधित करना भी जोखिम को कम करने में मदद कर सकता है। एक सर्वोत्तम अभ्यास के रूप में, संदिग्ध गतिविधि के लिए Jenkins लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है।
Actualice Jenkins a la versión 2.555 o superior, o a la versión 2.541.3 o superior de la línea LTS. Esto corrige la vulnerabilidad en el manejo de enlaces simbólicos durante la extracción de archivos .tar y .tar.gz. La actualización evitará que atacantes con permisos Item/Configure o control sobre procesos de agente desplieguen scripts o plugins maliciosos en el controlador.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संस्करण 2.554 और पहले के संस्करण और LTS संस्करण 2.541.2 और पहले के संस्करण इस भेद्यता से प्रभावित हैं।
इस भेद्यता का फायदा उठाने के लिए एक हमलावर को Item/Configure अनुमतियों या एजेंट प्रक्रियाओं को नियंत्रित करने की आवश्यकता है।
उस Jenkins संस्करण की जांच करें जिसका आप उपयोग कर रहे हैं। यदि यह 2.555 से पहले का है, तो यह कमजोर है।
एक अस्थायी उपाय के रूप में, Jenkins द्वारा फ़ाइलों को लिखे जाने वाले निर्देशिकाओं के लिए फ़ाइल सिस्टम एक्सेस अनुमतियों को प्रतिबंधित करें।
दुर्भावनापूर्ण स्कैनिंग उपकरण Jenkins फ़ाइल सिस्टम पर दुर्भावनापूर्ण फ़ाइलों का पता लगाने में मदद कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।