Résumé
Le 2 octobre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité Jenkins, un outil pour créer, tester et déployer des projets logiciels, ainsi que pour automatiser les pipelines CI/CD.
Référencée sous CVE-2017-1000353, Cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur un serveur Jenkins en envoyant un objet Java malveillant spécialement conçu (un objet SignedObject sérialisé) via l’interface CLI à distance, qui sera ensuite désérialisé malgré les protections existantes.
Solutions
Appliquez les mesures correctives selon les instructions du fournisseur Jenkins.
La faille est activement exploitée : Oui.
Détails techniques
Score CVSS : 9.8
EPSS : 94.41%
Risques :
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Jenkins version 2.56 et toutes versions antérieures
- Jenkins LTS (Long Term Support) version 2.46.1 et antérieures
Documentation
- Bulletin de sécurité de jenkins
https://www.jenkins.io/security/advisory/2017-04-26/ - Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2017-1000353 - CVE Details
https://www.cvedetails.com/cve/CVE-2017-1000353 - Reference CVE
https://www.cve.org/CVERecord?id=CVE-2017-1000353 - CWE
https://www.cvedetails.com/cwe-details/502/Deserialization-of-Untrusted-Data.html