De Jenkins Warrior Framework Plugin tot en met versie 1.2 heeft een kritiek beveiligingslek waarbij wachtwoorden onversleuteld worden opgeslagen in de job config.xml bestanden op de Jenkins controller. Dit maakt het mogelijk voor gebruikers met Item/Extended Read permissies of toegang tot het Jenkins controller bestandssysteem om onbevoegde toegang te krijgen tot gevoelige gegevens.
Overzicht
Deze kwetsbaarheid, aangeduid als CVE-2025-53675, betreft de Jenkins Warrior Framework Plugin van de Jenkins Project. Het lek is beoordeeld met een CVSS-score van 6,5 vanwege het hoge risico op vertrouwelijkheidsimpact. De kwetsbaarheid is van invloed op versies tot en met 1.2 vna de plugin.
Aanbevelingen
- Update de Jenkins Warrior Framework Plugin naar een versie hoger dan 1.2, mocht deze beschikbaar komen, om dit beveiligingsprobleem te verhelpen.
- Beperk de toegang tot Jenkins controllers en zorg ervoor dat alleen geautoriseerd personeel toegang heeft tot
config.xmlbestanden.
Bronnen
Voor meer informatie, raadpleeg de Jenkins Security Advisory van 9 juli 2025.
Vraag en Antwoord
Wat is CVE-2025-53675?
Het is een kwetsbaarheid in de Jenkins Warrior Framework Plugin die wachtwoorden onversleuteld opslaat, blootstellend aan onbevoegde toegang.
Welke systemen zijn kwetsbaar voor CVE-2025-53675?
Alle systemen met de Jenkins Warrior Framework Plugin versie 1.2 of lager die toegang hebben tot config.xml bestanden.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen specifieke patch beschikbaar. Het wordt aangeraden om de toegang tot gevoelige bestanden te beperken en te wachten op een update van de leverancier.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan inzicht krijgen in gevoelige informatie zoals wachtwoorden door toegang te krijgen tot Jenkins config.xml bestanden.
