[TLP:CLEAR] Jenkins upozorňuje na 8 zranitelností v pluginech
Jenkins upozorňuje na 8 zranitelností ve svých pluginech. Nejzávažnější z nich jsou popsány níže, zbytek naleznete na [1]. Pluginy a jejich opravené verze (jsou-li k dispozici) [1][2]: Azure Service Fabric Plugin - oprava není v době publikace k dispozici Bitbucket Server Integration Plugin - 4.1.4 Eiffel Broadcaster Plugin - 2.10.3 Folder-based Authorization Strategy Plugin - oprava není v době publikace k dispozici GitLab Plugin - 1.9.7 OpenId Connect Authentication Plugin - 4.453.v4d7765c854f4 Zoom Plugin - 1.6
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečným restrikcím v implementaci Bitbucket Server Integration Plugin podporující autentizaci OAuth 1.0 umožněno pomocí sociálního inženýrství vykonat CSRF útok [1].
Zranitelnost se nachází v produktu Bitbucket Server Integration Plugin ve verzích >=2.1.0 AND <=4.1.3.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-24398 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-352: Cross-Site Request Forgery (CSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 22. 1. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nerozlišování velikosti písmen v OpenId Connect Authentication Plugin umožněno přihlásit se jako libovolný uživatel a potenciálně získat administrátorská oprávnění. Zranitelné jsou instance Jenkins konfigurované pro využití poskytovatele OpenID Connect (OIDC) rozlišujícího velikost písmen (case-sensitive). Pro odstranění zranitelnosti je kromě aktualizace na opravenou verzi nutné explicitně povolit rozlišování velikosti písmen v nastavení pluginu [1].
Zranitelnost se nachází v produktu OpenId Connect Authentication Plugin ve verzích (<4.438.440.v3f5f201de5dc) OR (>4.438.440.v3f5f201de5dc AND <=4.452.v2849b_d3945fa_).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-24399 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-276: Incorrect Default Permissions at cwe.mitre.org
Zranitelnost byla veřejně oznámena 22. 1. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné verifikaci povolených oprávnění (typicky volitelných jako je Overall/Manage) ve Folder-based Authorization Strategy Plugin umožněno získat neoprávněný přístup k některým funkcionalitám [1]. Oprava zranitelnosti není v době publikace k dispozici [1][2].
Zranitelnost se nachází v produktu Folder-based Authorization Strategy Plugin ve verzích <=217.vd5b_18537403e.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:L
Více informací:
- CVE-2025-24401 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 22. 1. 2025.
Autentizovanému vzdálenému útočníkovi, který má globální oprávnění Item/Configure, ale nemá jej pro žádnou konkrétní úlohu, je kvůli nedostatečné kontrole oprávnění v GitLab Plugin umožněno získat identifikátory uložených přihlašovacích údajů typu API token a Secret text, což může být v kombinaci s jinou zranitelností potenciálně zneužito k získání přihlašovacích údajů [1].
Zranitelnost se nachází v produktu GitLab Plugin ve verzích <=1.9.6.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2025-24397 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 22. 1. 2025.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 5. 2. 2025.
