In de Jenkins Apica Loadtest Plugin versie 1.10 en eerder, worden Apica Loadtest LTP authenticatietokens in platte tekst opgeslagen in de job config.xml-bestanden op de Jenkins-controller. Daardoor kunnen deze gemakkelijk bekeken worden door gebruikers met de juiste leesrechten of toegang tot het bestandssysteem van de Jenkins-controller. Dit lek, aangeduid als CVE-2025-53664, vormt een aanzienlijk risico op ongeautoriseerde toegang.
Overzicht
De kwetsbaarheid speelt zich af bij versie 1.10 en eerder van de Jenkins Apica Loadtest Plugin. Het probleem betreft de onversleutelde opslag van authenticatietokens, wat valt onder CWE-256, het opslagrisico van wachtwoorden in platte tekst.
Aanbevelingen
- Controleer of uw versie van de Jenkins Apica Loadtest Plugin ouder dan 1.10 is en update deze indien mogelijk naar een nieuwere versie zodra die beschikbaar is.
- Verminder toegang tot de Jenkins controller-bestanden tot het absolute minimum om de blootstelling te beperken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53664?
Dit betreft een kwetsbaarheid in de Jenkins Apica Loadtest Plugin waarbij authenticatietokens onversleuteld worden opgeslagen, toegankelijk voor bepaalde gebruikers.
Welke systemen zijn kwetsbaar voor CVE-2025-53664?
Systemen die gebruikmaken van Jenkins Apica Loadtest Plugin versie 1.10 en eerder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van schrijven is er geen specifieke update voor deze kwetsbaarheid bekend. Gebruikers worden geadviseerd om hun systemen te controleren en beveiligingsupdates in de gaten te houden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot gevoelige authenticatietaken en mogelijk verdere toegang krijgen tot uw systeem via deze tokens.
