Jenkins et CVE-2024-23897 : pourquoi le CLI est redevenu un sujet critique

Une faille qui a remis Jenkins au centre des priorites

Dans son advisory officiel du 24 janvier 2024, Jenkins decrit CVE-2024-23897 comme une lecture arbitraire de fichiers via le CLI pouvant mener a une execution de code a distance. Le point technique central etait la fonctionnalite expandAtFiles de la bibliotheque args4j, utilisee pour parser certains arguments de commandes.

Pourquoi c est critique

Jenkins n est pas un simple outil annexe. C est souvent un coeur de confiance pour les pipelines, credentials, artefacts et deploiements. Une faille qui permet de lire des fichiers sur le controller touche donc potentiellement des secrets, des clefs et des chemins d execution privilegies.

Ce que cela dit du risque CI/CD

Les outils de build et de deploiement concentrent plus de pouvoir que beaucoup d applications metier. Quand un CI/CD est expose, le sujet n est pas uniquement la machine elle-meme. C est l ensemble de la chaine logicielle.

La lecon pour 2026

Les equipes doivent verifier le CLI, les plugins, la visibilite du controller, les permissions lecture faibles en apparence et la rotation des secrets potentiellement exposes. Une faille CI/CD se traite comme une faille d infrastructure critique.

Notre lecture

CVE-2024-23897 est devenu une reference car il rappelle une chose simple : compromettre l outil qui construit et deploie le logiciel vaut souvent plus que compromettre l application finale. Sur ce type de stack, la priorite de patch doit etre immediate.