检测

Jenkins 插件的多个漏洞 (2025-07-09)

medium Nessus 插件 ID 241693

语言:

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

 - Jenkins Applitools Eyes Plugin 1.16.5 及更早版本会将未加密的 Applitools API 密钥存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些密钥。(CVE-2025-53742)

 - Jenkins Applitools Eyes Plugin 1.16.5 及更早版本未对构建页面的 Applitools URL 转义,导致存储型跨站脚本 (XSS) 漏洞,具有“项目/配置”权限的攻击者可利用此漏洞来执行攻击。(CVE-2025-53658)

 - Jenkins Credentials Binding Plugin 687.v619cb_15e923f 和更早版本未正确屏蔽(即替换为星号)写入构建日志的异常错误消息中出现的凭据。
 (CVE-2025-53650)

 - Jenkins HTML Publisher Plugin 425 和更早版本会在 Publish HTML 报告后构建步骤中显示包含存档文件绝对路径的日志消息,从而在构建日志中泄露 Jenkins 控制器文件系统的相关信息。(CVE-2025-53651)

 - Jenkins Git Parameter Plugin 439.vb_0e46ca_14534 和更早版本不会验证提交到版本的 Git 参数值是否匹配所提供的一个选择,从而允许具有“项目/构建”权限的攻击者将任意值注入 Git 参数。(CVE-2025-53652)

 - Jenkins Aqua Security Scanner Plugin 3.2.8 及更早版本会将未加密的 Applitools API 扫描程序令牌存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些令牌。(CVE-2025-53653)

 - Jenkins Statistics Gatherer Plugin 2.0.3 及更低版本会将其全局配置文件中未加密的 AWS Secret Key 存储在 Jenkins 控制器上,因此拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密钥。(CVE-2025-53654)

 - Jenkins Statistics Gatherer Plugin 2.0.3 及更早版本未对全局配置表单上的 AWS Secret Key 进行掩码,这增加了攻击者观察和捕获该密钥的可能性。(CVE-2025-53655)

 - Jenkins ReadyAPI Functional Testing Plugin 1.11 及更早版本会将未加密的 SLM 许可访问密钥、客户端密钥和密码存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些密钥和密码。
 (CVE-2025-53656)

 - Jenkins ReadyAPI Functional Testing Plugin 1.11 及更低版本未对作业配置表单上显示的 SLM 许可访问密钥、客户端密钥和密码进行掩码,这增加了攻击者观察和捕获这些密钥和密码的可能性。(CVE-2025-53657)

 - Jenkins Applitools Eyes Plugin 1.16.5 及更低版本未对作业配置表单上显示的 Applitools API 密钥进行掩码,这增加了攻击者观察和捕获密钥的可能性。(CVE-2025-53743)

 - Jenkins QMetry Test Management Plugin 1.13 及更早版本会将未加密的 Qmetry Automation API 密钥存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些密钥。(CVE-2025-53659)

 - Jenkins QMetry Test Management Plugin 1.13 及更低版本未对作业配置表单上显示的 Qmetry Automation API 密钥进行掩码,这增加了攻击者观察和捕获密钥的可能性。
 (CVE-2025-53660)

 - Jenkins Testsigma Test Plan run Plugin 1.6 及更低版本未对作业配置表单上显示的 Testsigma API 密钥进行掩码,这增加了攻击者观察和捕获密钥的可能性。
 (CVE-2025-53661)

 - Jenkins IFTTT Build Notifier Plugin 1.2 及更早版本会将未加密的 IFTTT Maker Channel 密钥存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些密钥。(CVE-2025-53662)

 - Jenkins IBM Cloud DevOps Plugin 2.0.16 及更低版本会将未加密的 SonarQube 身份验证令牌存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些令牌。(CVE-2025-53663)

 - Jenkins Apica Loadtest Plugin 1.10 及更低版本会将未加密的 Loadtest LTP 身份验证令牌存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些令牌。(CVE-2025-53664)

 - Jenkins Apica Loadtest Plugin 1.10 及更低版本未对作业配置表单上显示的 Apica Loadtest LTP 身份验证令牌进行掩码,这增加了攻击者观察和捕获令牌的可能性。(CVE-2025-53665)

 - Jenkins Dead Man's Snitch Plugin 0.1 及更低版本会将未加密的 Snitch 令牌存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些令牌。(CVE-2025-53666)

 - Jenkins Dead Man's Snitch Plugin 0.1 未对作业配置表单上显示的 Dead Man's Snitch 令牌进行掩码,这增加了攻击者观察和捕获令牌的可能性。(CVE-2025-53667)

 - Jenkins VAddy Plugin 1.2.8 及更早版本会将未加密的 Vaddy API 验证密钥存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些密钥。(CVE-2025-53668)

 - Jenkins VAddy Plugin 1.2.8 及更低版本未对作业配置表单上显示的 Vaddy API 验证密钥进行掩码,这增加了攻击者观察和捕获密钥的可能性。(CVE-2025-53669)

 - Jenkins Nouvola DiveCloud Plugin 1.08 及更早版本会将未加密的 DiveCloud API 密钥和凭据加密密钥存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些密钥。(CVE-2025-53670)

 - Jenkins Nouvola DiveCloud Plugin 1.08 及更低版本未对作业配置表单上显示的 DiveCloud API 密钥和凭据加密密钥进行掩码,这增加了攻击者观察和捕获密钥的可能性。(CVE-2025-53671)

 - Jenkins Kryptowire Plugin 0.2 及更低版本会将其全局配置文件中未加密的 Kryptowire API 密钥存储在 Jenkins 控制器上,因此拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密钥。(CVE-2025-53672)

 - Jenkins Sensedia Api Platform tools Plugin 1.0 会将其全局配置文件中未加密的 Sensedia API Manager 集成令牌存储在 Jenkins 控制器上,因此拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此令牌。(CVE-2025-53673)

 - Jenkins Sensedia Api Platform tools Plugin 1.0 未对全局配置表单上的 Sensedia API Manager 集成令牌进行掩码,这增加了攻击者观察和捕获此令牌的可能性。
 (CVE-2025-53674)

 - Jenkins Warrior Framework Plugin 1.2 及更早版本会将未加密的密码存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“项目/扩展读取”权限或 Jenkins 控制器文件系统访问权限的用户可查看这些密码。(CVE-2025-53675)

 - Jenkins Xooa Plugin 0.0.7 及更早版本会将其全局配置文件中未加密的 Xooa 部署令牌存储在 Jenkins 控制器上,因此拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此令牌。(CVE-2025-53676)

 - Jenkins Xooa Plugin 0.0.7 及更早版本未对全局配置表单上的 Xooa 部署令牌进行掩码,这增加了攻击者观察和捕获该令牌的可能性。(CVE-2025-53677)

 - Jenkins User1st uTester Plugin 1.1 及更早版本会将其全局配置文件中未加密的 uTester JWT 令牌存储在 Jenkins 控制器上,因此拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此令牌。(CVE-2025-53678)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Jenkins 插件更新到以下版本:
 - Apica Loadtest Plugin:请参阅供应商公告
 - 将 Applitools Eyes Plugin 升级至 1.16.6 或更高版本
 - Aqua Security Scanner Plugin:请参阅供应商公告
 - 将 Credentials Binding Plugin 升级至 687.689.v1a_f775332fc9 或更高版本
 - Dead Man's Snitch Plugin:请参阅供应商公告
 - 将 Git Parameter Plugin 升级至 444.vca_b_84d3703c2 版或更高版本
 - 将 HTML Publisher Plugin 升级至 427 或更高版本
 - IBM Cloud DevOps Plugin:请参阅供应商公告
 - IFTTT Build Notifier Plugin:请参阅供应商公告
 - Kryptowire Plugin:请参阅供应商公告
 - Nouvola DiveCloud Plugin:请参阅供应商公告
 - QMetry Test Management Plugin:请参阅供应商公告
 - ReadyAPI Functional Testing Plugin:请参阅供应商公告
 - Sensedia Api Platform tools Plugin:请参阅供应商公告
 - Statistics Gatherer Plugin:请参阅供应商公告
 - Testsigma Test Plan run Plugin:请参阅供应商公告
 - User1st uTester Plugin:请参阅供应商公告
 - VAddy Plugin:请参阅供应商公告
 - Warrior Framework Plugin:请参阅供应商公告
 - Xooa Plugin:请参阅供应商公告

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2025-07-09

插件详情

严重性: Medium

ID: 241693

文件名: jenkins_security_advisory_2025-07-09_plugins.nasl

版本: 1.1

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2025/7/10

最近更新时间: 2025/7/10

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

Enable CGI Scanning: true

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9

时间分数: 6.7

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2025-53658

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2025-53742

漏洞信息

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必需的 KB 项: installed_sw/Jenkins

易利用性: No known exploits are available

补丁发布日期: 2025/7/9

漏洞发布日期: 2025/7/9

参考资料信息

CVE: CVE-2025-53650, CVE-2025-53651, CVE-2025-53652, CVE-2025-53653, CVE-2025-53654, CVE-2025-53655, CVE-2025-53656, CVE-2025-53657, CVE-2025-53658, CVE-2025-53659, CVE-2025-53660, CVE-2025-53661, CVE-2025-53662, CVE-2025-53663, CVE-2025-53664, CVE-2025-53665, CVE-2025-53666, CVE-2025-53667, CVE-2025-53668, CVE-2025-53669, CVE-2025-53670, CVE-2025-53671, CVE-2025-53672, CVE-2025-53673, CVE-2025-53674, CVE-2025-53675, CVE-2025-53676, CVE-2025-53677, CVE-2025-53678, CVE-2025-53742, CVE-2025-53743