Jenkins, en qualité d’outil d’automatisation de serveur open-source, joue un rôle crucial dans les processus de développement logiciel, notamment le build, les tests et le déploiement continu. Une vulnérabilité critique de type « arbitrary file read » a été détectée dans cet outil. Son exploitation permettrait à un attaquant de lire des fichiers arbitraires sur le serveur et pourrait conduire à une exécution de code.
Libellée sous le CVE-2024-23897, cette vulnérabilité présente dans la fonction expandAtFiles activée par défaut dans la bibliothèque args4j de Jenkins, expose le système à des risques de lecture de fichiers arbitraires. Un attaquant authentifié pourrait exploiter cette faille pour accéder au contenu des fichiers sur le serveur, avec une amplitude d’accès supérieure à celle d’un attaquant non authentifié, ce dernier étant limité à la lecture de trois lignes au maximum. Cette vulnérabilité pourrait potentiellement conduire à une exécution de code sur le serveur vulnérable.
Cette vulnérabilité est classée critique et son score de sévérité est 9.8.
RISQUES DE SÉCURITÉ
- Exécution de code
- Fuite de données sensibles
SYSTÈMES AFFECTÉS
- Jenkins 2.441 et ses versions antérieures.
MESURES À PRENDRE
- Appliquer une mise à jour vers la version 2.442.
Source: bjCSIRT
