聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该安全公告在2025年3月5日发布,它详述了影响 Jenkins 2.499及之前版本和 LTS 2.492.1及之前版本的三个漏洞。在这三个漏洞中,最严重的是CVE-2025-27622,可导致具有“Agent/Extended 读权限的攻击者查看机密的加密值”。该漏洞是因为在通过 REST API 或 CLI 访问代理配置时未能编辑加密机密时造成的。
第二个漏洞CVE-2025-27623与上述漏洞类似,影响视图配置,可导致“具有查看/读取权限的攻击者查看机密的加密值”。
第三个漏洞是CSRF 漏洞CVE-2025-27642,影响2.500和LTS 2.492.2 版本,可导致攻击者“切换侧边栏工具的 collapsed/expanded 状态”,并可能在受害者的用户资料中存储受攻击者控制的内容。
Jenkins 已在版本2.500和LTS 2.492.2中修复了这些漏洞。强烈建议用户将Jenkins 实例更新至最新版本以缓解这些安全风险。该公告还详述了一个开放重定向漏洞CVE-2025-27625,可导致攻击者执行钓鱼攻击。建议Jenkins 用户和管理员查看完整的安全公告并采取必要措施保护系统安全。
原文始发于微信公众号(代码卫士):Jenkins 修复CSRF和开放重定向等多个漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论