Jenkins Stapler Web Framework

Die Schwachstelle steckt im Stapler-Web-Framework, das Jenkins zur Verarbeitung von Web-Anfragen einsetzt. In der Klasse, die eingehende URLs auf Java-Objekte und deren Methoden abbildet, prüft Stapler nicht ausreichend, welche Methoden über eine URL aufgerufen werden dürfen. Dadurch kann ein Angreifer durch das gezielte Manipulieren von Web-Adressen Methoden auf serverseitigen Java-Objekten anstoßen, die für diesen Aufruf gar nicht vorgesehen waren. Da der Angriff auf der unsicheren Verarbeitung von nicht vertrauenswürdigen Daten beruht, lässt sich darüber letztlich beliebiger Code ausführen. Betroffen ist die Web-Schnittstelle von Jenkins selbst, also die Komponente, über die Anwender und Dienste mit dem Automatisierungsserver interagieren. Weil Jenkins in der Software-Entwicklung eine zentrale Rolle für Build- und Auslieferungsprozesse spielt, kann eine Übernahme des Servers weitreichende Folgen für die gesamte Entwicklungsumgebung haben.