Vulnérabilités majeures dans Jenkins

Nous tenons à vous informer de deux vulnérabilités critiques découvertes au sein de Jenkins, répertoriées sous les CVE-2024-23897 et CVE-2024-23898. Ces failles présentent un risque substantiel de compromission du système et d’accès non autorisé à des informations sensibles. Un code d’exploitation a déjà été publié présageant des attaques ciblées possibles.

« Jenkins est une plateforme d’automatisation open source favorisant l’intégration continue en facilitant le processus de développement logiciel, du code source au déploiement. »

Détails des Vulnérabilités

CVE-2024-23897 : une erreur de traitement des commandes dans l’Interface de Ligne de Commande (CLI) permet à un attaquant distant, même non authentifié, de lire des fichiers arbitraires sur le serveur en exploitant une commande spécifiquement conçue.

CVE-2024-23898 : un manque de contrôle des requêtes via le point d’accès CLI WebSocket permet à un attaquant distant et authentifié d’exécuter des commandes CLI sur le contrôleur Jenkins, représentant une menace significative pour la sécurité.

Actions recommandées

• Mise à Jour Immédiate : Installez les versions Jenkins 2.442 et LTS 2.426.3 dès que possible en suivant le lien : Mise à Jour Jenkins.
• Désactivation Temporaire de la Ligne de Commande : Pour les administrateurs ne pouvant pas mettre à jour immédiatement, désactivez temporairement l’accès à la ligne de commande.

D’après ONYPHE, 531 adresses IP uniques sont vulnérables actuellement sur le domaine « .fr » et 172.000 dans le monde.

Partager :

• Partager cette page sur Linkedin
• Imprimer