Jenkins插件缺陷暴露了严重风险:CVE-2025-47889通过Auth Bypass达到9.8 CVD

阅读量52754

发布时间 : 2025-05-16 15:35:27

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/jenkins-plugin-flaws-expose-critical-risks-cve-2025-47889-hits-9-8-cvss-with-impersonation-auth-bypass/

译文仅供参考,具体内容表达以及含义原文为准。

Jenkins 安全 - CVE-2023-35141 Jenkins 插件, CVE-2025-47884

Jenkins是一种流行的开源自动化服务器,是许多开发和运营团队的重要工具。最近的安全咨询强调了Jenkins插件中的几个关键漏洞,对Jenkins安装构成重大风险。

 

CVE-2025-47884:通过OpenID Connect提供商插件构建代币渗透(CVSS 9.1)

新披露的漏洞中最严重的缺陷是CVE-2025-47884,它影响了OpenID Connect Provider插件。Jenkins安全研究人员透露,environment该插件的构建ID令牌生成依赖于可过重的环境变量 – 这是一个主要的疏忽。

“构建 ID 令牌的默认声明模板使用 JOB_URL 环境变量用于子(主体)声明,”该咨询指出。

当安装像Environment Injector插件这样的插件时,具有配置作业能力的攻击者可以制作冒充受信任的作业的令牌,从而可能获得对外部服务的未经授权的访问。

 

CVE-2025-47885:通过CloudBees插件将XSS存储在健康顾问中(CVSS 8.8)

CloudBees Plugin在Health Advisor中也发现了一个存储的跨站点脚本漏洞。

“CloudBees Plugin 374.v194b_d4f0c8c8 及更早的健康顾问不会逃避Jenkins Health Advisor服务器的响应。

控制来自 Health Advisor 服务器响应的攻击者可以注入恶意 JavaScript,然后在未来用户访问 Jenkins 的上下文中持续存储和执行。

 

CVE-2025-47889:WSO2 宣誓插件中的身份验证旁路(CVSS 9.8)

也许更令人担忧的是CVE-2025-47889,影响了WSO2宣誓插件。这个错误允许未经身份验证的攻击者使用任何用户名和密码登录,即使是不存在的。

“身份验证声明未经’WSO2 Oauth’安全领域的验证即可被接受,”该咨询解释说。

在授权策略允许“登录用户”完全权限的设置中,此漏洞可能会立即将攻击者升级到管理员级别。目前没有固定。

 

其他值得注意的问题

    • Cadence vManager 插件(CVE-2025-47886,CVE-2025-47887):无法执行权限检查,不需要POST请求,导致CSRF和权限升级的可能性。
    • DingTalk插件(CVE-2025-47888):完全禁用SSL/TLS证书验证,使通信面临MITM攻击的风险。尚未发布补丁。

缓解和补丁建议

修复程序目前可用于以下插件:

  • OpenID Connect 提供商插件 → 更新至 111.v29fd614b_3617
  • 健康顾问由 CloudBees 插件 → 更新至 374.376.v3a_41a_a_142efe
  • Cadence vManager 插件 → 更新至 4.0.1-288.v8804b_ea_a_cb_7f

对于 WSO2 Oauth 和 DingTalk 插件,请立即卸载或限制其使用,直到发布官方补丁。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66