De Jenkins Testsigma Test Plan run Plugin versies tot en met 1.6 bevat een kwetsbaarheid waardoor Testsigma API-sleutels zichtbaar zijn in het configuratieformulier van de taak. Dit verhoogt het risico dat aanvallers deze sleutels kunnen waarnemen en onderscheppen.
Het probleem is geclassificeerd onder CVE-2025-53661 en betreft onvoldoende beveiligde inloggegevens (CWE-522). Hoewel de kwetsbaarheid als middelmatig ernstig is geclassificeerd met een CVSS-score van 4.3, is snelle actie gewenst om potentieel misbruik te voorkomen.
Overzicht
De kwetsbaarheid in de Jenkins Plugin maakt dat gevoelige API-sleutels niet voldoende beschermd zijn. Dit kan leiden tot onbedoelde toegang tot systemen indien de sleutels worden onderschept door een kwaadwillende partij.
Aanbevelingen
- Controleer of u een versie gebruikt van Jenkins Testsigma Test Plan run Plugin die 1.6 of ouder is en update naar een nieuwere versie zodra een update beschikbaar komt.
- Beperk de toegang tot configuratieformulieren om te zorgen dat alleen bevoegde gebruikers toegang hebben.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53661?
Dit is een kwetsbaarheid in de Jenkins Testsigma Test Plan run Plugin waarbij API-sleutels niet goed gemaskeerd worden in het configuratieformulier.
Welke systemen zijn kwetsbaar voor CVE-2025-53661?
Systemen die gebruikmaken van de Jenkins Testsigma Test Plan run Plugin versie 1.6 of ouder.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is het belangrijk om de website van Jenkins te raadplegen voor de laatste updates en instructies.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang verkrijgen tot gevoelige API-sleutels en deze gebruiken om ongerechtvaardigde toegang tot systemen te verkrijgen.
