Jenkins Command Line Interface (CLI)

Die Schwachstelle steckt im Befehlszeilen-Interface (CLI) von Jenkins, einem weit verbreiteten Automatisierungsserver für Software-Entwicklungsprozesse. Der Befehlsparser der CLI enthält eine standardmäßig aktive Funktion, die in einem übergebenen Argument ein vorangestelltes ‘@’-Zeichen samt nachfolgendem Dateipfad durch den tatsächlichen Inhalt der angegebenen Datei ersetzt. Da diese Funktion nicht abgeschaltet ist, lässt sie sich missbrauchen: Ein Angreifer kann gezielt Pfade angeben und so Dateien auf dem Dateisystem des Jenkins-Controllers auslesen, für die er keine Berechtigung haben sollte. Der Angriff gelingt aus der Ferne und ohne vorherige Anmeldung. Auch wenn der Lesezugriff zunächst begrenzt erscheint, reicht er aus, um an sensible Inhalte zu gelangen, und kann in der Folge zur Ausführung von Schadcode führen. Betroffen ist die zentrale Steuerungsinstanz von Jenkins, über die Build- und Automatisierungsprozesse verwaltet werden.