Origine : bjCSIRT
Numéro : 2025/ALERTE/040
Date de l’alerte : 19/05/2025
APERÇU :
De multiples vulnérabilités critiques affectant certains plugins Jenkins, permettrait à un acteur malveillant d’usurper des identités, exécuter du code malveillant ou contourner les mécanismes d’authentification, compromettant ainsi l’intégrité et la sécurité des systèmes affectés.
DESCRIPTION :
Jenkins est un outil d’intégration continue largement utilisé pour automatiser les étapes du développement logiciel, comme la compilation, les tests et le déploiement. Il utilise les plugins comme OpenID Connect Provider pour connecter des services via un jeton d’authentification ; Health Advisor by CloudBees pour analyser l’état de Jenkins et proposer des recommandations en matière de sécurité, et WSO2 OAuth pour s’intégrer facilement avec des fournisseurs d’identité externes utilisant OAuth2.
Ces plugins sont affectés par des vulnérabilités libellées comme suit :
CVE-2025-47884 : Elle résulte d’une mauvaise gestion des variables d’environnement dans le plugin OpenID Connect Provider. Son exploitation permettrait à un utilisateur disposant de droits de configuration de jobs de générer manuellement des jetons d’identité falsifiés, pouvant être utilisés pour usurper des identités ou contourner des contrôles de sécurité dans des services tiers.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.1 selon le score CVSS v3.1.
CVE-2025-47885 : Elle résulte de l’absence de validation des réponses en provenance du serveur Health Advisor. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant de tirer parti d’une vulnérabilité XSS stockée, injectant du code JavaScript malveillant dans l’interface utilisateur de Jenkins.
Cette vulnérabilité est classée élevée avec un score de sévérité de 8.8 selon le score CVSS v3.1.
CVE-2025-47889 : Elle affecte le plugin WSO2 OAuth et résulte d’un défaut de validation des revendications d’authentification retournées par le fournisseur. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié, de contourner totalement le mécanisme d’authentification et obtenir un accès arbitraire, même sans identifiants valides.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8 selon le score CVSS v3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Atteinte à l’intégrité des données ;
- Atteinte à la disponibilité des données ;
- Usurpation d’identité ;
- Exécution de code JavaScript malveillant via XSS ;
- Contournement du mécanisme d’authentification.
SYSTÈMES AFFECTÉS :
- Les versions du plugin OpenID Connect Provider antérieures à la 96.vee8ed882ec4d ;
- Les versions du plugin Health Advisor by CloudBees antérieures à la 374.v194b_d4f0c8c8 ;
- La version 1.0 du plugin WSO2 OAuth.
MESURES À PRENDRE :
- Mettre à jour OpenID Connect Provider Plugin vers la version 111.v29fd614b3617 ;
- Mettre à jour Health Advisor by CloudBees Plugin vers la version 374.376.v3a41aa142efe ;
- Mettre à jour WSO2 OAuth Plugin vers la version 1.1.
RÉFÉRENCES :
