Een ernstig beveiligingslek is ontdekt in de Jenkins Applitools Eyes Plugin tot en met versie 1.16.5. Deze kwetsbaarheid laat gevoelige Applitools API-sleutels onbeveiligd in config.xml-bestanden achter op de Jenkins-controller, toegankelijk voor gebruikers met bepaalde rechten. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens.
Overzicht
De kwetsbaarheid, CVE-2025-53742, heeft een CVSS 3.1 basis score van 6.5 (medium), met een vector die idealiter op netwerkniveau kan worden benut. Hoewel de aanvaller een lage bevoegdheid nodig heeft, ligt de focus op het vertrouwelijkheidslek.
Het opslaan van gevoelige informatie in cleartext maakt het makkelijk voor kwaadwillenden om deze data in handen te krijgen.
Aanbevelingen
- Update de Jenkins Applitools Eyes Plugin naar een versie hoger dan 1.16.5 om de kwetsbaarheid te verhelpen.
- Zorg ervoor dat API-sleutels niet als cleartext worden opgeslagen in configuratiebestanden.
Bronnen
Meer gedetailleerde informatie kan gevonden worden in de Jenkins Security Advisory van 9 juli 2025.
Vraag en Antwoord
1. Wat is CVE-2025-53742?
Het is een kwetsbaarheid in de Jenkins Applitools Eyes Plugin die gevoelige API-sleutels onbeschermd opslaat, wat kan leiden tot ongeautoriseerde gegevensinzage.
2. Welke systemen zijn kwetsbaar voor CVE-2025-53742?
Systemen die de Jenkins Applitools Eyes Plugin versie 1.16.5 of lager draaien zijn kwetsbaar.
3. Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aangeraden om de plugin te updaten naar een nieuwer versie dan 1.16.5 om de kwetsbaarheid te verhelpen.
4. Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan met toegang tot de Jenkins-controller of met bepaalde leesrechten gevoelige API-sleutels uitlezen en mogelijk misbruiken voor ongeautoriseerde toegang.
