Vulnérabilité dans Jenkis Pipeline utility steps

Le plugin Jenkins Pipeline Utility Steps est un plugin qui fournit un ensemble de fonctions et de méthodes utilitaires pour les pipelines Jenkins. Il offre des fonctionnalités supplémentaires pour faciliter la création et la gestion des pipelines de déploiement logiciel. Il présente de vulnérabilité de type écriture de fichier arbitraire nommée CVE-2023-32981 qui a été publié le 16/05/2023. 

Avec ladite vulnérabilité, un attaquant pourrait fournir des archives élaborées en tant que paramètres pour créer ou remplacer des fichiers arbitraires sur le système de fichiers de l’agent avec un contenu spécifié par l’attaquant. 

Cette vulnérabilité est de sévérité Critique et son score CVSSv3 est de 9,8.

RISQUES DE SÉCURITÉ

  • Atteinte à la confidentialité des données
  • Atteinte à disponibilité des données

SYSTEMES AFFECTÉS 

  • Les versions du plugin Pipeline Utility Steps inférieures ou égales à la 2.15.2

MESURES À PRENDRE 

  • Il est recommandé de mettre à jour Pipeline Utility Steps à la dernière version disponible

 

Source : bjCSIRT