Jenkins User Interface (UI)

Die Schwachstelle betrifft die Benutzeroberfläche von Jenkins, einem weit verbreiteten Server zur Automatisierung von Software-Builds. Konkret sitzt der Fehler in den sogenannten Fingerprints-Seiten der Oberfläche. Über diese Seiten kann ein Angreifer aus der Ferne durch eine direkt abgesetzte Anfrage Informationen abrufen, die ihm eigentlich nicht zugänglich sein dürften – nämlich die Namen von Jobs und Builds, für die er keine Berechtigung besitzt. Die Zugriffsbeschränkung greift an dieser Stelle also nicht, sodass die Bezeichnungen ansonsten verborgener Aufträge und Build-Vorgänge offengelegt werden. Es handelt sich um eine Preisgabe von Informationen: Der Angreifer kann keine Builds verändern oder Code ausführen, gewinnt aber Einblick in die Struktur und Benennung interner Vorgänge. Solche Namen können Rückschlüsse auf Projekte, Kunden oder interne Abläufe erlauben und sich als Ausgangspunkt für gezieltere Angriffe nutzen lassen. Betroffen sind Jenkins-Installationen, deren Oberfläche erreichbar ist.