Origine : bjCSIRT
Numéro : 2024/ALERTE/006
Date de l’alerte : 29/01/2024
APERÇU :
Une vulnérabilité critique de type « arbitrary file read » a été détectée dans Jenkins. Son exploitation permettrait à un attaquant de lire des fichiers arbitraires sur le serveur et pourrait conduire à une exécution de code.
DESCRIPTION :
Jenkins, en qualité d’outil d’automatisation de serveur open-source, joue un rôle crucial dans les processus de développement logiciel, notamment le build, les tests et le déploiement continu.
Libellée sous le CVE-2024-23897, cette vulnérabilité présente dans la fonction expandAtFiles activée par défaut dans la bibliothèque args4j de Jenkins, expose le système à des risques de lecture de fichiers arbitraires. Un attaquant authentifié pourrait exploiter cette faille pour accéder au contenu des fichiers sur le serveur, avec une amplitude d’accès supérieure à celle d’un attaquant non authentifié, ce dernier étant limité à la lecture de trois lignes au maximum. Cette vulnérabilité pourrait potentiellement conduire à une exécution de code sur le serveur vulnérable.
Cette vulnérabilité est classée critique et son score de sévérité est 9.8.
IMPACT :
- Exécution de code ;
- Fuite de données sensibles.
SYSTÈMES AFFECTÉS :
Jenkins 2.441 et ses versions antérieures.
MESURES À PRENDRE :
Appliquer une mise à jour vers la version 2.442.
RÉFÉRENCES :
