| Titre | Vulnérabilités dans les produits Jenkins |
| Numéro de Référence | Numéro de Référence 53660304/25 |
| Date de publication | Date de publication 03 avril 2025 |
| Niveau de Risque | Niveau de Risque Important |
| Niveau d'Impact | Niveau d'Impact Important |
Jenkins (core) Versions antérieures à 2.504 (weekly) / 2.492.3 (LTS)
Cadence vManager Plugin Versions antérieures à 4.0.1-286.v9e25a_740b_a_48
Simple Queue Plugin Versions antérieures à 1.4.7
Templating Engine Plugin Versions antérieures à 2.5.4
Plugins sans correctif disponible :
AsakusaSatellite Plugin (≤ 0.1.1)
monitor-remote-job Plugin (≤ 1.0)
Stack Hammer Plugin (≤ 1.0.6)
CVE-2025-31720 CVE-2025-31721 CVE-2025-31722
CVE-2025-31723 CVE-2025-31724 CVE-2025-31725
CVE-2025-31726 CVE-2025-31727 CVE-2025-31728
Jenkins a publié un avis de sécurité corrigeant de multiples vulnérabilités affectant Jenkins core et divers plugins. L’exploitation de ces failles peut permettre à un attaquant de contourner la politique de sécurité, d'exécuter du code arbitraire ou de porter atteinte à la confidentialité des données.
Veuillez se référer au bulletin de sécurité Jenkins du 02 Avril 2025.
Il est recommandé de :
Mettre à jour les produits affectés dès que possible.
Faire une rotation des clés API et mots de passe stockés dans les configurations de jobs.
Considérer la suppression ou la désactivation des plugins sans correctifs pour limiter les risques.
Atteinte à l’intégrité des données
Exécution du code arbitraire
Contournement de la politique de sécurité
Bulletin de sécurité Jenkins du 02 Avril 2025:
Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma
DGSSI2025 All rights reserved
