Het Jenkins Nouvola DiveCloud Plugin, versies 1.08 en eerder, heeft een kritiek beveiligingslek dat gevoelige gegevens, zoals API-sleutels en encryptiesleutels, onversleuteld opslaat in config.xml-bestanden. Deze gegevens zijn toegankelijk voor gebruikers met Item/Extended Read-machtigingen of voor iedereen die toegang heeft tot het bestandssysteem van de Jenkins-controller.
Dit stelt aanvallers in staat om eenvoudig toegang te krijgen tot gevoelige informatie zonder enige gebruikersinteractie, wat een aanzienlijk risico vormt voor uw IT-infrastructuur.
Overzicht
De kwetsbaarheid, aangeduid als CVE-2025-53670, is geclassificeerd onder CWE-312, wat verwijst naar de opslag van gevoelige informatie in platte tekst. Het basis CVSS-score van 6.5 wijst op een gemiddeld risico, met een hoge impact op vertrouwelijkheid.
Aanbevelingen
- Controleer uw systemen op de aanwezigheid van de kwetsbare Jenkins Nouvola DiveCloud Plugin en update naar een ongevoelige versie zodra deze beschikbaar is.
- Beperk de toegang tot het Jenkins-controller bestandssysteem en minimaliseer de toegewezen machtigingen om de impact te beperken.
