CVE-2025-47910

plus petit que 1 minute de lecture

Mis à jour : September 04, 2025

Exfiltration de JWT via la configuration GitHub dans SonarQube

Une vulnérabilité, identifiée sous la référence CVE-2024-47910, affecte les versions de SonarQube antérieures aux versions 9.9.5 LTA et 10.x avant 10.5. Elle permet à un utilisateur disposant du rôle d’administrateur de modifier la configuration d’une intégration GitHub existante afin d’exfiltrer un JWT pré-signé. Ce défaut de sécurité provient d’un contrôle d’accès inapproprié dans la configuration de cette intégration.

Points clés :

Une faille permet à un administrateur de détourner une configuration GitHub pour voler un JWT.
Cela peut mener à la divulgation de jetons d’authentification sensibles.
L’exploitation pourrait permettre un accès non autorisé aux ressources GitHub intégrées.

Vulnérabilité :

CVE-2024-47910 : Contrôle d’accès inapproprié dans la configuration de l’intégration GitHub de SonarQube.

Recommandations :

Mettre à jour SonarQube vers les versions 9.9.5 LTA, 10.5 ou des versions ultérieures. Le correctif exige que les administrateurs fournissent une clé privée pour la vérification lors de la modification de l’URL de l’API GitHub.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-47910

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast