Er is een beveiligingslek ontdekt in Jenkins Statistics Gatherer Plugin versie 2.0.3 en eerdere. Deze plugin maskeert de AWS Secret Key niet in de globale configuratie, waardoor het risico bestaat dat aanvallers deze gevoelige informatie kunnen observeren en onderscheppen.
Overzicht
De kwetsbaarheid CVE-2025-53655, met CVSS-score 5.3, valt in de categorie CWE-256 Plaintext Storage of a Password. De impact is technisch gedeeltelijk, en de exploitatiegraad is laag, maar wel automatiseerbaar.
Aanbevelingen
- Controleer of uw systeem draait op een versie ouder dan 2.0.4 en update indien nodig onmiddellijk naar de laatste versie.
- Zorg ervoor dat alle geheime sleutels, zoals AWS Secret Keys, veilig worden opgeslagen en niet in platte tekst worden weergegeven.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53655?
CVE-2025-53655 is een kwetsbaarheid in de Jenkins Statistics Gatherer Plugin waarbij gevoelige AWS Secret Keys mogelijk kunnen worden onderschept door aanvallers.
Welke systemen zijn kwetsbaar voor CVE-2025-53655?
Systemen die Jenkins Statistics Gatherer Plugin versie 2.0.3 en lager gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er wordt aangeraden om te upgraden naar de nieuwste versie van de Jenkins Statistics Gatherer Plugin. Controleer regelmatig de Jenkins-beveiligingsadviezen voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk toegang krijgen tot de AWS Secret Key, wat kan leiden tot ongeautoriseerde acties binnen uw AWS-omgeving.
