Een kritieke kwetsbaarheid, CVE-2025-53658, is gevonden in de Jenkins Applitools Eyes Plugin versie 1.16.5 en eerder. Deze kwetsbaarheid kan tot cross-site scripting (XSS) leiden, waardoor aanvallers met de juiste bevoegdheden potentieel schadelijke scripts kunnen injecteren.
De kwetsbaarheid beïnvloedt de weergave van de Applitools URL op de build pagina en vereist dat de aanvaller beschikt over Item/Configure rechten binnen Jenkins. Het risico op misbruik is betiteld als Medium volgens de CVSS-score van 5.4. Daarom is onmiddellijk ingrijpen noodzakelijk om beveiligingsrisico’s te beperken.
Overzicht
De Jenkins Applitools Eyes Plugin versies tot en met 1.16.5 bevatten een kwetsbaarheid (CVE-2025-53658) die niet correct de Applitools URL ontsmet bij het genereren van webpagina’s. Dit kan leiden tot exploiteerbare XSS-aanvallen.
Aanbevelingen
- Update de Jenkins Applitools Eyes Plugin voorbij versie 1.16.5 om de kwetsbaarheid te verhelpen.
- Beperk gebruikersrechten zolang de patch niet is toegepast om potentiële uitbuiting te minimaliseren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53658?
CVE-2025-53658 beschrijft een cross-site scripting kwetsbaarheid in Jenkins Applitools Eyes Plugin waardoor ongeautoriseerde scripts kunnen worden geïnjecteerd.
Welke systemen zijn kwetsbaar voor CVE-2025-53658?
Alle systemen die Jenkins Applitools Eyes Plugin versie 1.16.5 en eerder gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aangeraden om te updaten naar een versie hoger dan 1.16.5 om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Met de juiste rechten kan een aanvaller kwaadaardige scripts invoeren die worden uitgevoerd door andere gebruikers die de build pagina laden, wat kan leiden tot datalekken en andere beveiligingsrisico’s.
