Jenkins社区为Gatling插件中新披露的漏洞发布了高严重性安全公告,Gatling插件是用于将性能测试报告集成到Jenkins CI管道中的流行工具。
指定为CVE-2025-5806,该漏洞已被分配为CVSS评分为8.0,标记为高度严重。该漏洞位于Gatling插件版本136.vb_9009b_3d33a_e中,由于实施问题,该版本绕过了Jenkins 1.641和1.625.3中引入的内容安全政策(CSP)保护。
对CSP头的这种不当处理为跨站点脚本(XSS)攻击打开了大门,特别是在用户可以修改或上传Gatling报告内容的环境中。如果被利用,攻击者可能会将恶意JavaScript注入Jenkins仪表板,从而实现:
- 会话劫持
- 凭证盗窃
- 重定向到恶意网站
- 对 Jenkins 接口的持久控制
这在共享或企业Jenkins环境中尤其危险,其中多个用户与报告功能进行交互。
截至目前,尚未发布官方补丁或修复程序。Jenkins团队建议受影响的用户降级到Gatling Plugin 1.3.0版本,1.3.0该版本不会受到此漏洞的影响。
发表评论
您还未登录,请先登录。
登录