Jenkins 插件多个漏洞 (2025-10-29)
high Nessus 插件 ID 271958
语言:
简介
远程 Web 服务器主机上运行的应用程序受到多个漏洞影响描述
根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:- Jenkins Azure CLI 插件 0.9 和更早版本未限制其在 Jenkins 控制器上执行的命令从而允许具有项目/配置权限的攻击者执行任意 shell 命令。
(CVE-2025-64140)
- Jenkins SAML Plugin 4.583.vc68232f7018a_ 和更早版本未实现重放缓存允许攻击者获取有关用户 Web 浏览器和 Jenkins 之间 SAML 认证流的信息以重放这些请求从而向 Jenkins 确认身份为该用户。 (CVE-2025-64131)
- Jenkins MCP Server Plugin 0.84.v50ca_24ef83f2 及更低版本未在多种 MCP 工具中执行权限检查允许攻击者触发版本并获取他们本无权访问的作业和云配置的信息。 (CVE-2025-64132)
- Jenkins 可扩展选择参数插件 239.v5f5c278708cf 和较早版本中的跨站请求伪造 (CSRF) 漏洞允许攻击者执行沙盒中的 Groovy 代码。 (CVE-2025-64133)
- Jenkins JDepend Plugin 1.3.1 和更早版本包含 JDepend Maven Plugin 的过时版本该版本不会配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。 (CVE-2025-64134)
- Jenkins eggplant Runner Plugin 0.0.1.301.v963cffe8ddb_8 和更早版本将 Java 系统属性 `jdk.http.auth.tunneling.disabledSchemes` 设置为空值从而禁用 Java 运行时的保护机制。 (CVE-2025-64135)
- Jenkins Themis 插件 1.4.1 和更早版本中的跨站请求伪造 (CSRF) 漏洞允许攻击者连接到攻击者指定的 HTTP 服务器。 (CVE-2025-64136)
- Jenkins Themis 插件 1.4.1 和较早版本中缺少的权限检查允许具有 Overall/Read 权限的攻击者连接到攻击者指定的 HTTP 服务器。 (CVE-2025-64137)
- Jenkins Start Windocks Containers Plugin 1.4 和更早版本中的跨站请求伪造 (CSRF) 漏洞允许攻击者连接到攻击者指定的 URL。 (CVE-2025-64138)
- Jenkins Start Windocks Containers 插件 1.4 和更早版本中缺少权限检查这允许具有 Overall/Read 权限的攻击者连接到攻击者指定的 URL。 (CVE-2025-64139)
- Jenkins Nexus Task Runner 插件 0.9.2 和更早版本中的跨站请求伪造 (CSRF) 漏洞允许攻击者使用攻击者指定的凭据连接到攻击者指定的 URL。
(CVE-2025-64141)
- Jenkins Nexus Task Runner 插件 0.9.2 和更早版本中缺少的权限检查允许具有 Overall/Read 权限的攻击者使用攻击者指定的凭据连接到攻击者指定的 URL。
(CVE-2025-64142)
- Jenkins OpenShift Pipeline 插件 1.0.57 和更早版本将未加密的授权标记存储在 Jenkins 控制器的作业 config.xml 文件中可供具有项目/扩展读取权限或 Jenkins 控制器文件系统访问权限的用户查看。 (CVE-2025-64143)
- Jenkins ByteGuard Build Actions 插件 1.0 将未加密的 API 标记存储在 Jenkins 控制器上的作业 config.xml 文件中被具有项目/扩展读取权限或 Jenkins 控制器文件系统访问权限的用户查看。 (CVE-2025-64144)
- Jenkins ByteGuard Build Actions 插件 1.0 未掩盖作业配置表单上显示的 API 标记从而增加了攻击者观察和捕获这些标记的可能性。 (CVE-2025-64145)
- Jenkins Curseforge Publisher 插件 1.0 在 Jenkins 控制器上的作业 config.xml 文件中存储未加密的 API 密钥只有具有项目/扩展读取权限或 Jenkins 控制器文件系统访问权限的用户才能查看。 (CVE-2025-64146)
- Jenkins Curseforge Publisher 插件 1.0 未掩盖作业配置表单上显示的 API 密钥从而增加了攻击者观察和捕获这些密钥的可能性。 (CVE-2025-64147)
- Jenkins Publish to Bitbucket 插件 0.4 和更早版本中缺少的权限检查允许具有 Overall/Read 权限的攻击者枚举 Jenkins 中存储的凭据 ID。 (CVE-2025-64148)
- Jenkins Publish to Bitbucket 插件 0.4 和更早版本中的跨站请求伪造 (CSRF) 漏洞允许攻击者使用通过另一种方法捕获的攻击者指定的凭据 ID 连接到攻击者指定的 URL从而捕获 Jenkins 中存储的凭据。 (CVE-2025-64149)
- Jenkins Publish to Bitbucket 插件 0.4 和更早版本中缺少一个权限检查允许具有 Overall/Read 权限的攻击者使用通过捕获 Jenkins 的另一种方法获得的攻击者指定的凭据 ID 连接到攻击者指定的 URL。 (CVE-2025-64150)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Jenkins 插件更新到以下版本:- azure-cli 插件请参阅供应商公告
- ByteGuard Build Actions 插件请参阅供应商公告
- Curseforge Publisher 插件请参阅供应商公告
- eggplant Runner 插件请参阅供应商公告
- 可扩展选择参数插件请参阅供应商公告
- JDepend 插件请参阅供应商公告
- MCP Server Plugin 版本升级至 0.86.v7d3355e6a_a_18 或更高版本
- Nexus Task Runner 插件请参阅供应商公告
- OpenShift Pipeline 插件请参阅供应商公告
- 发布到 Bitbucket 插件请参阅供应商公告
- SAML 插件 至 4.583.585.v22ccc1139f55 或更高版本
- 启动 Windocks Containers 插件请参阅供应商公告
- Themis 插件请参阅供应商公告
有关更多详细信息,请参阅供应商公告。
另见
插件详情
严重性: High
ID: 271958
文件名: jenkins_security_advisory_2025-10-29_plugins.nasl
版本: 1.3
类型: combined
代理: windows, macosx, unix
系列: CGI abuses
发布时间: 2025/10/29
最近更新时间: 2025/10/30
支持的传感器: Nessus Agent, Nessus
Enable CGI Scanning: true
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 9
时间分数: 6.7
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-64140
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins
必需的 KB 项: installed_sw/Jenkins
易利用性: No known exploits are available
补丁发布日期: 2025/10/29
漏洞发布日期: 2025/10/29
参考资料信息
CVE: CVE-2025-64131, CVE-2025-64132, CVE-2025-64133, CVE-2025-64134, CVE-2025-64135, CVE-2025-64136, CVE-2025-64137, CVE-2025-64138, CVE-2025-64139, CVE-2025-64140, CVE-2025-64141, CVE-2025-64142, CVE-2025-64143, CVE-2025-64144, CVE-2025-64145, CVE-2025-64146, CVE-2025-64147, CVE-2025-64148, CVE-2025-64149, CVE-2025-64150