Origine : bjCSIRT
Numéro : 2025/ALERTE/059
Date de l’alerte : 14/08/2025
APERÇU :
L’extension Git Parameter de Jenkins est affectée par une vulnérabilité qui permettrait à un acteur malveillant d’exécuter des commandes arbitraires sur l’agent Jenkins.
DESCRIPTION :
Jenkins est une plateforme open-source permettant d’automatiser les processus d’intégration et de déploiement continu (CI/CD). L’extension Git Parameter de Jenkins permet de créer un paramètre de build qui liste les branches, tags, pull requests ou révisions d’un dépôt Git, afin que l’utilisateur puisse choisir la version du code à utiliser lors de l’exécution du build.
Cette extension est affectée par la vulnérabilité libellée CVE‑2025‑53652 qui découle d’une validation insuffisante de la valeur du paramètre Git fournie lors d’un build. Cette insuffisance de validation permettrait à un acteur malveillant disposant de la permission Item/Build d’injecter des valeurs arbitraires dans les paramètres Git, pouvant entraîner l’exécution de commandes sur l’agent Jenkins.
Cette vulnérabilité est classée élevée avec un score de sévérité de 8.2 selon le CVSS 3.1.
IMPACT :
- Exécution de code ;
- Atteinte à l’intégrité des données ;
- Compromission de l’environnement.
SYSTÈMES AFFECTÉS :
La version 439.vb_0e46ca_14534 de Git Parameter,ainsi que les versions antérieures.
MESURES À PRENDRE :
Mettre à jour Git Parameter vers la version 444.vca_b_84d3703c2.
RÉFÉRENCES :
