Jenkins plugins 多個弱點 (2025-07-09)

medium Nessus Plugin ID 241693

概要

遠端 Web 伺服器上執行的應用程式受到多個弱點的影響

說明

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins plugin 版本受到多個弱點影響:

- Jenkins Applitools Eyes Plugin 1.16.5 及更舊版本會將未加密的 Applitools API 金鑰儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些 API 金鑰可由具有 Item/Extended 讀取權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53742)

- Jenkins Applitools Eyes Plugin 1.16.5 及更舊版本不會在建構頁面逸出 Applitools URL,進而會導致具有「Job/Configure」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2025-53658)

- Jenkins Credentials Binding Plugin 687.v619cb_15e923f 和更舊版本未正確遮蔽 (亦即以星號取代) 寫入至構建記錄的例外狀況錯誤訊息中存在的認證。
(CVE-2025-53650)

- Jenkins HTML Publisher Plugin 425 和更舊版本會顯示包含「發布 HTML 報告構建後步驟」期間封存的絕對路徑的記錄訊息,進而在構建記錄中洩漏 Jenkins 控制器檔案系統的相關資訊。(CVE-2025-53651)

- Jenkins Git 參數外掛程式 439.vb_0e46ca_14534 和更舊版本未驗證提交至 build 的 Git 參數值是否符合提供的其中一個選項,進而允許具有 Item/Build 權限的攻擊者將任意值插入 Git 參數。 (CVE-2025-53652)

- Jenkins Aqua Security Scanner Plugin 3.2.8 及更舊版本會將未加密的 Scanner Tokens for Aqua API 儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些存取權杖可由具有「Item/Extended」權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53653)

- Jenkins Statistics Gatherer Plugin 2.0.3 及更舊版本會將未加密的 AWS Secret 金鑰儲存在 Jenkins 控制器上的全域組態檔案中,而這些密碼可由具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53654)

- Jenkins Statistics Gatherer Plugin 2.0.3 及更舊版本未遮罩全域組態表單上的 AWS Secret 金鑰,這增加了攻擊者觀察和擷取密碼的可能性。(CVE-2025-53655)

- Jenkins ReadyAPI Functional Testing Plugin 1.11 及更早版本會將 SLM License Access 金鑰、用戶端密碼和未加密的密碼儲存在 Jenkins 控制器的工作 config.xml 檔案中,而具有 Item/Extended 讀取權限或具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。
(CVE-2025-53656)

- Jenkins ReadyAPI Functional Testing Plugin 1.11 及更舊版本未遮罩工作組態表單上的 SLM License Access 金鑰、用戶端密碼和密碼,這增加了攻擊者觀察和擷取這些權杖的可能性。(CVE-2025-53657)

- Jenkins Applitools Eyes Plugin 1.16.5 及更舊版本未遮罩工作設定表單上的 Applitools API 金鑰,這增加了攻擊者觀察和擷取這些權杖的可能性。(CVE-2025-53743)

- Jenkins QMetry Test Management Plugin 1.13 及更舊版本會將未加密的 Qmetry Automation API 金鑰儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些 API 金鑰可由具有 Item/Extended 讀取權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53659)

- Jenkins QMetry Test Management Plugin 1.13 及更舊版本未遮罩工作設定表單上的 Qmetry Automation API 金鑰,這增加了攻擊者觀察和擷取這些權杖的可能性。
(CVE-2025-53660)

- Jenkins Testsigma Test Plan run Plugin 1.6 及更舊版本未遮罩工作設定表單上的 Testsigma API 金鑰,這增加了攻擊者觀察和擷取這些權杖的可能性。
(CVE-2025-53661)

- Jenkins IFTTT Build Notifier Plugin 1.2 及更舊版本會將未加密的 IFTTT Maker Channel 金鑰儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些 API 金鑰可由具有 Item/Extended 讀取權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53662)

- Jenkins IBM Cloud DevOps Plugin 2.0.16 及更舊版本會將未加密的 SonarQube 驗證權杖儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些存取權杖可由具有「Item/Extended」權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53663)

- Jenkins Apica Loadtest Plugin 1.10 及更舊版本會將未加密的 Apica Loadtest LTP 驗證權杖儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些存取權杖可由具有「Item/Extended」權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53664)

- Jenkins Apica Loadtest Plugin 1.10 及更舊版本未遮罩工作組態表單上的 Apica Loadtest LTP 驗證權杖,這增加了攻擊者觀察和擷取這些權杖的可能性。(CVE-2025-53665)

- Jenkins Dead Man's Snitch Plugin 0.1 會將未加密的 Dead Man's Snitch 權杖儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些存取權杖可由具有「Item/Extended」權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53666)

- Jenkins Dead Man's Snitch Plugin 0.1 未遮罩工作組態表單上的 Dead Man's Snitch 權杖,這增加了攻擊者觀察和擷取這些權杖的可能性。(CVE-2025-53667)

- Jenkins VAddy Plugin 1.2.8 及更舊版本會將未加密的 Vaddy API Auth 金鑰儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些 API 金鑰可由具有 Item/Extended 讀取權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53668)

- Jenkins VAddy Plugin 1.2.8 及更舊版本未遮罩工作設定表單上的 Vaddy API Auth 金鑰,這增加了攻擊者觀察和擷取這些權杖的可能性。(CVE-2025-53669)

- Jenkins Nouvola DiveCloud Plugin 1.08 及更舊版本會將未加密的 DiveCloud API 金鑰以及憑證加密金鑰儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些 API 金鑰可由具有 Item/Extended 讀取權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53670)

- Jenkins Nouvola DiveCloud Plugin 1.08 及更舊版本未遮罩工作設定表單上的 DiveCloud API 金鑰以及憑證加密金鑰,這增加了攻擊者觀察和擷取這些權杖的可能性。(CVE-2025-53671)

- Jenkins Kryptowire Plugin 0.2 及更舊版本會將未加密的 Kryptowire API 金鑰儲存在 Jenkins 控制器上的全域組態檔案中,而這些密碼可由具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-53672)

- Jenkins Sensedia Api Platform tools Plugin 1.0 會將未加密的Sensedia API Manager Integration Token 儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2025-53673)

- Jenkins Sensedia Api Platform tools Plugin 1.0 未遮蔽全域組態表單上的 Sensedia API Manager Integration Token,進而增加攻擊者觀察和擷取它的可能性。
(CVE-2025-53674)

- Jenkins Warrior Framework Plugin 1.2 及更早版本會將未加密的密碼儲存在 Jenkins 控制器的工作 config.xml 檔案中,而具有 Item/Extended 讀取權限或具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2025-53675)

- Jenkins Xooa Plugin 0.0.7 及更早版本會將未加密的 Xooa Deployment Token 儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2025-53676)

- Jenkins Xooa Plugin 0.0.7 及更舊版本未遮罩全域組態表單上的 Xooa Deployment Token,這增加了攻擊者觀察和擷取密碼的可能性。(CVE-2025-53677)

- Jenkins User1st uTester Plugin 1.1 及更早版本會將未加密的 uTester JWT Token 儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2025-53678)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Jenkins plugin 更新至下列版本:
- Apica Loadtest Plugin:請參閱廠商公告
- Applitools Eyes Plugin 至 1.16.6 版或更新版本
- Aqua Security Scanner Plugin:請參閱廠商公告
- Credentials Binding Plugin 至 687.689.v1a_f775332fc9 版或更新版本
- Dead Man's Snitch Plugin:請參閱廠商公告
- Git Parameter Plugin 至 444.vca_b_84d3703c2 版或更新版本
- HTML Publisher Plugin 至 427 版或更新版本
- IBM Cloud DevOps Plugin:請參閱廠商公告
- IFTTT Build Notifier Plugin:請參閱廠商公告
- Kryptowire Plugin:請參閱廠商公告
- Nouvola DiveCloud Plugin:請參閱廠商公告
- QMetry Test Management Plugin:請參閱廠商公告
- ReadyAPI Functional Testing Plugin:請參閱廠商公告
- Sensedia Api Platform tools Plugin:請參閱廠商公告
- Statistics Gatherer Plugin:請參閱廠商公告
- Testsigma Test Plan run Plugin:請參閱廠商公告
- User1st uTester Plugin:請參閱廠商公告
- VAddy Plugin:請參閱廠商公告
- Warrior Framework Plugin:請參閱廠商公告
- Xooa Plugin:請參閱廠商公告

請參閱廠商公告以獲得詳細資料。

另請參閱

https://jenkins.io/security/advisory/2025-07-09

Plugin 詳細資訊

嚴重性: Medium

ID: 241693

檔案名稱: jenkins_security_advisory_2025-07-09_plugins.nasl

版本: 1.1

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2025/7/10

已更新: 2025/7/10

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

Enable CGI Scanning: true

風險資訊

VPR

風險因素: Medium

分數: 5.0

CVSS v2

風險因素: High

基本分數: 9

時間性分數: 6.7

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2025-53658

CVSS v3

風險因素: Medium

基本分數: 6.5

時間性分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2025-53742

弱點資訊

CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/7/9

弱點發布日期: 2025/7/9

參考資訊

CVE: CVE-2025-53650, CVE-2025-53651, CVE-2025-53652, CVE-2025-53653, CVE-2025-53654, CVE-2025-53655, CVE-2025-53656, CVE-2025-53657, CVE-2025-53658, CVE-2025-53659, CVE-2025-53660, CVE-2025-53661, CVE-2025-53662, CVE-2025-53663, CVE-2025-53664, CVE-2025-53665, CVE-2025-53666, CVE-2025-53667, CVE-2025-53668, CVE-2025-53669, CVE-2025-53670, CVE-2025-53671, CVE-2025-53672, CVE-2025-53673, CVE-2025-53674, CVE-2025-53675, CVE-2025-53676, CVE-2025-53677, CVE-2025-53678, CVE-2025-53742, CVE-2025-53743