Jenkins LTS < 2.528.3/Jenkins 每週版 < 2.541 多個弱點
medium Nessus Plugin ID 278129
語言:
概要
遠端 Web 伺服器上執行的應用程式受到多個弱點的影響說明
根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins 是 Jenkins LTS 2.528.3 之前版本或 Jenkins 每週版的 2.541 之前版本。因此,會受到多個弱點影響:- Jenkins 2.540 及更舊版本、LTS 2.528.2 及更舊版本中有一個跨網站要求偽造 (CSRF) 弱點,可允許攻擊者誘騙使用者登入攻擊者的帳戶。(CVE-2025-67639)
- Jenkins 2.540 及更舊版本、LTS 2.528.2 及更舊版本未遮罩工作組態表單上顯示的版本授權權杖,這增加了攻擊者觀察和擷取這些權杖的可能性。
(CVE-2025-67638)
- Jenkins 2.540 與更舊版本、LTS 2.528.2 與更舊版本在連線資料流損毀時未正確關閉 HTTP 型 CLI 連線,進而允許未經驗證的攻擊者造成拒絕服務。
(CVE-2025-67635)
- Jenkins 2.540 及更舊版本、LTS 2.528.2 及更舊版本會將未加密的版本授權權杖儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些 API 金鑰可由具有 Item/Extended 讀取權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2025-67637)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
將 Jenkins 每週版升級至 2.541 版或更新版本,或將 Jenkins LTS 升級至 2.528.3 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 278129
檔案名稱: jenkins_2_541.nasl
版本: 1.2
類型: combined
代理程式: windows, macosx, unix
系列: CGI abuses
已發布: 2025/12/10
已更新: 2025/12/12
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
Enable CGI Scanning: true
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 4
時間性分數: 3
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2025-67639
CVSS v3
風險因素: Medium
基本分數: 4.3
時間性分數: 3.8
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2025-67638
弱點資訊
CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins
必要的 KB 項目: installed_sw/Jenkins
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2025/12/10
弱點發布日期: 2025/12/10
參考資訊
CVE: CVE-2025-67635, CVE-2025-67637, CVE-2025-67638, CVE-2025-67639
IAVA: 2025-A-0892