Een beveiligingslek in de Jenkins IBM Cloud DevOps Plugin (CVE-2025-53663) maakt het mogelijk voor gebruikers met Item/Uitgebreid leesrechten of toegang tot het Jenkins controller-bestandensysteem om SonarQube-authenticatietokens ongecodeerd te bekijken. Dit kan leiden tot ongeautoriseerde toegang en vertrouwelijke gegevensdiefstal.
Overzicht
De Jenkins IBM Cloud DevOps Plugin van versie 2.0.16 en eerder bewaart SonarQube-authenticatietokens ongecodeerd in de job config.xml-bestanden op de Jenkins-controller. Deze tokens kunnen worden ingezien door gebruikers met de juiste rechten of toegang tot het bestandensysteem van de Jenkins-controller.
Aanbevelingen
- Werk uw Jenkins IBM Cloud DevOps Plugin bij naar een nieuwere, gepatchte versie om dit beveiligingslek te dichten.
- Beperk toegang voor gebruikers die meer rechten hebben dan noodzakelijk, vooral op het gebied van leesrechten in de Jenkins omgeving.
Vraag en Antwoord
Wat is CVE-2025-53663?
CVE-2025-53663 betreft een kwetsbaarheid waarbij gevoelige gegevens zoals authenticatietokens ongecodeerd worden opgeslagen, wat de beveiliging van deze gegevens in gevaar kan brengen.
Welke systemen zijn kwetsbaar voor CVE-2025-53663?
Jenkins-systemen met de IBM Cloud DevOps Plugin versie 2.0.16 en eerder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het is aanbevolen om de plugin bij te werken naar een nieuwere versie die deze kwetsbaarheid verhelpt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeautoriseerde toegang verkrijgen tot SonarQube-tokens, wat mogelijk toegang geeft tot andere systemen die door deze tokens worden beschermd.
