De Jenkins VAddy Plugin versie 1.2.8 en eerder slaat Vaddy API Authenticatiesleutels ongecodeerd op in job config.xml bestanden op de Jenkins-controller. Hierdoor kunnen gebruikers met de juiste leesrechten of toegang tot het bestandssysteem van de Jenkins-controller deze gevoelige informatie bekijken.
Dit lek, met CVE-nummer CVE-2025-53668, kan leiden tot ernstige vertrouwelijkheidsproblemen, omdat een aanvaller toegang kan krijgen tot de authenticatiesleutels en daarmee mogelijk uw netwerkplatform zonder uw medeweten beheren.
Overzicht
Het probleem is geïdentificeerd als CWE-311, het ontbreken van encryptie voor gevoelige gegevens. De kwetsbaarheid scoort een ‘Medium’ op de CVSS schaal met een basis score van 6.5, vanwege de hoge impact op vertrouwelijkheid terwijl integriteit en beschikbaarheid niet worden beïnvloed.
Aanbevelingen
- Update naar een veilige versie van de Jenkins VAddy Plugin zodra een patch beschikbaar is.
- Beperk toegang tot de Jenkins-controller en zorg ervoor dat alleen vertrouwelijke gebruikers leesrechten hebben.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53668?
Dit is een beveiligingslek in Jenkins VAddy Plugin waarbij authenticatiesleutels ongecodeerd worden opgeslagen, waardoor ze toegankelijk kunnen zijn voor ongeauthoriseerde gebruikers.
Welke systemen zijn kwetsbaar voor CVE-2025-53668?
Alle systemen die Jenkins VAddy Plugin versie 1.2.8 of eerder gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel nog geen patch. Het is raadzaam de bronnen gevolgd te houden voor aankondigingen van de leverancierversie met oplossingen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de ongecodeerde authenticatiesleutels gebruiken om potentiële toegang te krijgen tot de Jenkins-controller, wat leidt tot vertrouwelijkheidsrisico’s.
