Origine : bjCSIRT
Numéro : 2023/ALERTE/024
Date de l’alerte : 25/05/2023
APERÇU :
Une vulnérabilité critique a été découverte dans le plugin Pipeline Utility Steps de Jenkins, liée à fonction du plugin qui permet d’extraire les archives dans les espaces de travail. Cette vulnérabilité peut entraîner une écriture de fichier arbitraire.
DESCRIPTION :
Le plugin Jenkins Pipeline Utility Steps est un plugin qui fournit un ensemble de fonctions et de méthodes utilitaires pour les pipelines Jenkins. Il offre des fonctionnalités supplémentaires pour faciliter la création et la gestion des pipelines de déploiement logiciel. Il présente de vulnérabilité de type écriture de fichier arbitraire nommée CVE-2023-32981 qui a été publié le 16/05/2023.
Avec ladite vulnérabilité, un attaquant pourrait fournir des archives élaborées en tant que paramètres pour créer ou remplacer des fichiers arbitraires sur le système de fichiers de l’agent avec un contenu spécifié par l’attaquant.
Cette vulnérabilité est de sévérité Critique et son score CVSSv3 est de 9,8.
IMPACT :
- Atteinte à la confidentialité des données
- Atteinte à disponibilité des données
SYSTEMES AFFECTÉS :
- Les versions du plugin Pipeline Utility Steps inférieures ou égales à la 2.15.2
MESURES À PRENDRE :
Il est recommandé de mettre à jour Pipeline Utility Steps à la dernière version disponible
REFERENCES :
