Vulnérabilités majeures dans Jenkins
février 2, 2024
1 minute de lecture
Nous tenons à vous informer de deux vulnérabilités critiques découvertes au sein de Jenkins, répertoriées sous les CVE-2024-23897 et CVE-2024-23898. Ces failles présentent un risque substantiel de compromission du système et d’accès non autorisé à des informations sensibles. Un code d’exploitation a déjà été publié présageant des attaques ciblées possibles.
« Jenkins est une plateforme d’automatisation open source favorisant l’intégration continue en facilitant le processus de développement logiciel, du code source au déploiement. »
Détails des Vulnérabilités
CVE-2024-23897 : une erreur de traitement des commandes dans l’Interface de Ligne de Commande (CLI) permet à un attaquant distant, même non authentifié, de lire des fichiers arbitraires sur le serveur en exploitant une commande spécifiquement conçue.
CVE-2024-23898 : un manque de contrôle des requêtes via le point d’accès CLI WebSocket permet à un attaquant distant et authentifié d’exécuter des commandes CLI sur le contrôleur Jenkins, représentant une menace significative pour la sécurité.
Actions recommandées
- Mise à Jour Immédiate : Installez les versions Jenkins 2.442 et LTS 2.426.3 dès que possible en suivant le lien : Mise à Jour Jenkins.
- Désactivation Temporaire de la Ligne de Commande : Pour les administrateurs ne pouvant pas mettre à jour immédiatement, désactivez temporairement l’accès à la ligne de commande.
D’après ONYPHE, 531 adresses IP uniques sont vulnérables actuellement sur le domaine « .fr » et 172.000 dans le monde.
Partager :