Jenkins – łata krytyczną podatność umożliwiającą wykonywanie kodu w OS poprzez odpowiednio (złośliwie) zbudowany URL

Problem opisany jest w ramach ID: SECURITY-595: Code execution through crafted URLs (błąd jest krytyczny, w skali CVSS 9.8 / 10, nie wymaga uwierzytelnienia). W skrócie, można wołać prawdopodobnie niemal dowolne metody javowe, korzystając właśnie z odpowiedniej konstrukcji URL-a:

(…) any public method whose name starts with get, and that has a String, int, long, or no argument can be invoked this way on objects that are reachable through these means. As these naming conventions closely match common code patterns in Java, accessing crafted URLs could invoke methods never intended to be invoked this way.

Polecamy szybką aktualizację.

–ms