Er is een kritiek beveiligingslek ontdekt in de Jenkins QMetry Test Management Plugin versie 1.13 en eerder. Dit lek maakt het mogelijk voor gebruikers met Item/Extended Read rechten om ongecodeerde Qmetry Automation API-sleutels te bekijken in de config.xml bestanden van Jenkins.
Dit probleem, aangeduid als CVE-2025-53659, kan leiden tot ongeautoriseerde toegang tot gevoelige informatie, vooral aangezien de API-sleutels zichtbaar zijn voor gebruikers met voldoende toegangsprivileges.
Overzicht
Het probleem valt onder CWE-311, waarbij gevoelige data niet gecodeerd is opgeslagen. De CVSS-score voor deze kwetsbaarheid is 6.5, wat als Medium wordt ingeschaald. Het probleem betreft de Jenkins QMetry Test Management Plugin versie 1.13 en eerdere versies waarin gevoelige API-sleutels niet versleuteld worden opgeslagen.
Aanbevelingen
- Controleer onmiddellijk uw Jenkins-installaties op het gebruik van de QMetry Test Management Plugin en update naar de laatste, veilige versie.
- Beperk de toegang tot Jenkins-systemen en bestanden door alleen de noodzakelijke rechten toe te kennen aan gebruikers.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53659?
CVE-2025-53659 is een beveiligingslek in Jenkins QMetry Test Management Plugin, waarbij gevoelige API-sleutels niet versleuteld worden opgeslagen.
Welke systemen zijn kwetsbaar voor CVE-2025-53659?
Systemen die de Jenkins QMetry Test Management Plugin versie 1.13 of eerder gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Update naar de laatste versie van de Jenkins QMetry Test Management Plugin om het probleem te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten toegang krijgen tot gevoelige API-sleutels die ongecodeerd zijn opgeslagen, waardoor verdere aanvallen mogelijk zijn.
