15 000 serveurs Jenkins menacés par une vulnérabilité RCE (CVE-2025-53652)

Un nouveau rapport de VulnCheck révèle une faille critique d'injection de commandes (CVE-2025-53652) dans le plugin Jenkins Git Parameter. Découvrez comment cette vulnérabilité, initialement classée comme moyenne, pourrait permettre à des pirates d'exécuter du code à distance et de compromettre des milliers de serveurs Jenkins non authentifiés.

Une nouvelle analyse de sécurité réalisée par la société VulnCheck révèle qu'une vulnérabilité du célèbre serveur d'automatisation Jenkins est plus dangereuse qu'on ne le pensait. Initialement classée comme menace de niveau moyen, la faille, officiellement identifiée comme CVE-2025-53652 , s'est avérée permettre une attaque plus grave, appelée injection de commandes. Celle-ci pourrait permettre aux pirates de prendre le contrôle total d'un serveur.

Pour information, Jenkins est un puissant outil open source utilisé par les entreprises pour automatiser les tâches de développement logiciel. La vulnérabilité affecte spécifiquement une fonctionnalité appelée plugin Git Parameter, qui permet aux développeurs de sélectionner et d'utiliser facilement différentes versions ou branches de code directement dans leurs tâches automatisées.

Selon le rapport de VulnCheck, partagé avec Hackread.com, environ 15 000 serveurs Jenkins sur Internet ont actuellement leurs paramètres de sécurité désactivés, ce qui en fait des cibles faciles pour ce type d'attaque.

Sur plus de 100 000 serveurs Jenkins connectés à Internet, 15 000 ont l'authentification désactivée - FOFA (Source : VulnCheck)

Le problème réside dans la façon dont le plugin Git Parameter gère les informations fournies par les utilisateurs. Lorsqu'un utilisateur saisit une valeur, le plugin l'utilise directement dans une commande sans vérifier correctement sa sécurité. Cela permet à un attaquant expérimenté d'injecter des commandes malveillantes dans le système.

L'équipe de VulnCheck a confirmé qu'elle pouvait exploiter cette faille pour exécuter son propre code sur le serveur, un type d'attaque dangereux appelé exécution de code à distance (RCE). Cette méthode lui a permis de prendre le contrôle d'un serveur de test et même d'accéder à des informations sensibles, comme une clé principale.

Bien que le correctif officiel de la vulnérabilité ait été publié, VulnCheck prévient qu'il peut être désactivé manuellement par un administrateur système. Cela signifie qu'un serveur peut rester vulnérable même après une mise à jour. Par conséquent, l'entreprise de sécurité a créé une règle spéciale pour aider les entreprises à détecter toute tentative d'exploitation de cette vulnérabilité.

Bien que l'entreprise ne pense pas que la faille sera largement exploitée, elle note qu'il s'agit du genre de faiblesse que les attaquants expérimentés apprécient pour des attaques spécifiques et ciblées ou pour pénétrer plus profondément dans le réseau d'une entreprise.