Er is een beveiligingslek geïdentificeerd in de Jenkins HTML Publisher Plugin, versie 425 en eerder. Deze kwetsbaarheid kan ervoor zorgen dat absolute paden van bestanden die zijn gearchiveerd tijdens de stap ‘Publiceer HTML-rapporten na bouw’ worden weergegeven in de logbestanden, waardoor gevoelige informatie over het besturingssysteem van de Jenkins-controller wordt blootgesteld.
Met een CVSS-score van 6.3, geclassificeerd als ‘Medium’, is deze kwetsbaarheid toegankelijk via het netwerk zonder dat gebruikersinteractie vereist is. Dit maakt het voor kwaadwillenden mogelijk om deze informatie te gebruiken voor verdere aanvallen.
Overzicht
De kwetsbaarheid betreft het niet adequaat maskeren van absolute bestandsroutes in logbestanden, waardoor informatie lekken kunnen ontstaan. Dit probleem is gemeld door Kyler Katz.
Aanbevelingen
- Controleer of uw Jenkins-omgeving gebruikmaakt van de HTML Publisher Plugin versie 425 of eerder.
- Update naar een nieuwere, gepatchte versie zodra deze beschikbaar is om dit beveiligingsprobleem te verhelpen.
- Beperk de toegang tot Jenkins-logbestanden zodat alleen geautoriseerd personeel toegang heeft tot deze bestanden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53651?
CVE-2025-53651 is een beveiligingslek in de Jenkins HTML Publisher Plugin waardoor logbestanden onbedoeld gevoelige systeeminformatie kunnen onthullen.
Welke systemen zijn kwetsbaar voor CVE-2025-53651?
Systemen die gebruikmaken van Jenkins HTML Publisher Plugin versies 425 en eerder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen gepubliceerde patch, maar gebruikers worden aangemoedigd om hun systemen bij te werken zodra een update beschikbaar is.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige details over het bestandssysteem van de Jenkins-controller verkrijgen, wat gecombineerd kan worden met andere methoden om verdere toegang of schade te vergemakkelijken.
