Matrix Project Plugin

Die Schwachstelle betrifft das Matrix Project Plugin für den Automatisierungsserver Jenkins. Sie liegt im Sandbox-Mechanismus, der dafür sorgen soll, dass von Benutzern bereitgestellte Skripte nur in einer abgeschotteten Umgebung mit eingeschränkten Rechten laufen. Aufgrund des Fehlers lässt sich diese Sandbox umgehen: Wer die Möglichkeit hat, ein solches Skript zu steuern, kann aus der Abschottung ausbrechen und beliebigen Code direkt auf dem Jenkins-Server ausführen. Da das Skript dann nicht mehr in der gekapselten Umgebung, sondern im Kontext des Servers selbst läuft, erlangt der Angreifer Code-Ausführung auf der zentralen Jenkins-Instanz – also auf dem System, das die Build- und Automatisierungsabläufe verwaltet. Betroffen sind Jenkins-Installationen, auf denen das Plugin im Einsatz ist und bei denen Angreifer Einfluss auf die ausgeführten Skripte nehmen können. Weil ein Jenkins-Server typischerweise an viele Projekte und Anmeldedaten angebunden ist, reicht die Wirkung über die einzelne Instanz hinaus.