Origine : bjCSIRT

Numéro : 2024/ALERTE/006

Date de l’alerte : 29/01/2024

APERÇU :

DESCRIPTION :

Jenkins, en qualité d’outil d’automatisation de serveur open-source, joue un rôle crucial dans les processus de développement logiciel, notamment le build, les tests et le déploiement continu. 

Libellée sous le CVE-2024-23897, cette vulnérabilité présente dans la fonction expandAtFiles activée par défaut dans la bibliothèque args4j de Jenkins, expose le système à des risques de lecture de fichiers arbitraires. Un attaquant authentifié pourrait exploiter cette faille pour accéder au contenu des fichiers sur le serveur, avec une amplitude d’accès supérieure à celle d’un attaquant non authentifié, ce dernier étant limité à la lecture de trois lignes au maximum. Cette vulnérabilité pourrait potentiellement conduire à une exécution de code sur le serveur vulnérable. 

Cette vulnérabilité est classée critique et son score de sévérité est 9.8.

IMPACT :

• Exécution de code ;
• Fuite de données sensibles.

SYSTÈMES AFFECTÉS : 

Jenkins 2.441 et ses versions antérieures. 

MESURES À PRENDRE : 

Appliquer une mise à jour vers la version 2.442. 

RÉFÉRENCES :

• https://www.jenkins.io/security/advisory/2024-01-24/
• https://nvd.nist.gov/vuln/detail/CVE-2024-23897
• https://socradar.io/critical-jenkins-cli-file-read-vulnerability-could-lead-to-rce-attacks-cve-2024-23897/