[TLP:CLEAR] Jenkins opravuje 4 zranitelnosti
Jenkins verzemi 2.500 (vydání weekly) a 2.492.2 (vydání LTS) opravuje 4 zranitelnosti [1].
Autentizovanému vzdálenému útočníkovi s oprávněním Agent/Extended Read (v konfiguraci agent) či View/Read (v konfiguraci view) je umožněno číst šifrované hodnoty Secrets v config.xml přes REST API nebo CLI [1][2].
Zranitelnost se nachází v produktech:
- Jenkins weekly ve verzích <=2.499
- Jenkins LTS ve verzích <=2.492.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2025-27622 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-27623 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 3. 2025.
Neautentizovanému vzdálenému útočníkovi je pomocí sociálního inženýrství umožněno vykonat útok CSRF [1].
Zranitelnost se nachází v produktech:
- Jenkins weekly ve verzích <=2.499
- Jenkins LTS ve verzích <=2.492.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
Více informací:
- CVE-2025-27624 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-352: Cross-Site Request Forgery (CSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 3. 2025.
Neautentizovanému vzdálenému útočníkovi je pomocí sociálního inženýrství a speciálně vytvořené URL adresy umožněno přesměrovat oběť na potenciálně škodlivou stránku [1].
Zranitelnost se nachází v produktech:
- Jenkins weekly ve verzích <=2.499
- Jenkins LTS ve verzích <=2.492.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Více informací:
- CVE-2025-27625 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-601: URL Redirection to Untrusted Site ('Open Redirect') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 3. 2025.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 6. 3. 2025.
