Origine : bjCSIRT
Numéro : 2025/ALERTE/022
Date de l’alerte : 10/03/2025
APERÇU :
Plusieurs vulnérabilités ont été découvertes dans Jenkins, permettant à un acteur malveillant d’accéder aux valeurs chiffrées des informations sensibles présentes dans le fichier de configuration.
DESCRIPTION :
Jenkins est un outil open source d’intégration continue (CI) et de déploiement continu (CD). Il est utilisé pour automatiser les tâches répétitives liées au développement de logiciels, notamment la construction, les tests et le déploiement des applications.
Cet outil est affecté par plusieurs vulnérabilités libellées comme suit :
CVE-2025-27622, CVE-2025-27623 : ces vulnérabilités proviennent d’une mauvaise gestion des valeurs chiffrées des informations sensibles stockées dans le fichier de configuration config.xml, accessible via l’API REST. Un acteur malveillant disposant de l’autorisation Agent/Extended Read pourrait accéder à ces informations sensibles. Ces vulnérabilités sont classées moyennes avec un score de sévérité de 4.3 selon le CVSS v3.1.
CVE-2025-27624 : cette vulnérabilité permettrait à un acteur malveillant de manipuler l’interface des utilisateurs authentifiés, les amenant à modifier involontairement l’état d’affichage des composants du panneau latéral, tels que la file d’attente de construction. Cette vulnérabilité est classée moyenne avec un score de sévérité de 5.4 selon le CVSS v3.1.
IMPACT :
- Atteinte à l’intégrité du système ;
- Atteinte à la confidentialité des données.
SYSTÈMES AFFECTÉS :
- Jenkins versions 2.499 et antérieures ;
- Jenkins LTS versions 2.492.1 et antérieures.
MESURES À PRENDRE :
Mettre à jour Jenkins vers les dernières versions disponibles.
RÉFÉRENCES :
