Une paire de vulnérabilités de sécurité graves a été révélée dans le serveur d’automatisation open source Jenkins qui pourrait conduire à l’exécution de code sur des systèmes ciblés.
Les défauts, suivis comme CVE-2023-27898 et CVE-2023-27905ont un impact sur le serveur Jenkins et le centre de mise à jour, et ont été collectivement baptisés CorePeste par la société de sécurité cloud Aqua. Toutes les versions de Jenkins antérieures à 2.319.2 sont vulnérables et exploitables.
« L’exploitation de ces vulnérabilités pourrait permettre à un attaquant non authentifié d’exécuter du code arbitraire sur le serveur Jenkins de la victime, ce qui pourrait conduire à une compromission complète du serveur Jenkins », a déclaré la société dans un communiqué. rapport partagé avec The Hacker News.
Les lacunes sont le résultat de la façon dont Jenkins traite les plugins disponibles sur le Centre de mise à jourpermettant ainsi potentiellement à un auteur de menace de télécharger un plug-in avec une charge utile malveillante et de déclencher une attaque de script intersite (XSS).
« Une fois que la victime ouvre le ‘Gestionnaire de plugins disponible‘ sur leur serveur Jenkins, le XSS est déclenché, permettant aux attaquants d’exécuter du code arbitraire sur le serveur Jenkins en utilisant le API de la console de scripts« , a déclaré Aqua.
Puisqu’il s’agit également d’un cas de XSS stocké dans lequel le code JavaScript est injecté dans le serveur, la vulnérabilité peut être activée sans avoir à installer le plugin ou même à visiter l’URL du plugin en premier lieu.
De manière troublante, les failles pourraient également affecter les serveurs Jenkins auto-hébergés et être exploitées même dans des scénarios où le serveur n’est pas accessible au public sur Internet, car le centre de mise à jour public de Jenkins pourrait être « injecté par des attaquants ».
L’attaque, cependant, repose sur la condition préalable que le plugin malveillant soit compatible avec le serveur Jenkins et soit affiché en haut du flux principal sur la page « Available Plugin Manager ».
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
Cela, a déclaré Aqua, peut être truqué en « téléchargeant un plugin contenant tous les noms de plugins et les mots-clés populaires intégrés dans la description », ou en augmentant artificiellement le nombre de téléchargements du plugin en soumettant des demandes à partir de fausses instances.
Suite à la divulgation responsable du 24 janvier 2023, des correctifs ont été publiés par Jenkins pour Centre de mise à jour et serveur. Il est recommandé aux utilisateurs de mettre à jour leur serveur Jenkins vers la dernière version disponible pour atténuer les risques potentiels.