Een recent ontdekt beveiligingsprobleem, CVE-2025-53654, treft de Jenkins Statistics Gatherer Plugin versie 2.0.3 en eerder. Deze kwetsbaarheid maakt het mogelijk dat de AWS Secret Key ongecodeerd wordt opgeslagen in het configuratiebestand op de Jenkins-controller, wat toegankelijk is voor gebruikers met toegang tot het besturingssysteem van de Jenkins-controller. Dit probleem is geclassificeerd als ‘CWE-522 Insufficiently Protected Credentials’ met een CVSS-score van 6.5, wat betekent dat het risico als medium wordt beschouwd.
Overzicht
- Product: Jenkins Statistics Gatherer Plugin
- Versies: 0 tot en met 2.0.3
- Risico: Middelmatige ernst (CVSS-score 6.5)
- Probleembeschrijving: Onvoldoende beveiliging van inloggegevens
Aanbevelingen
- Controleer of uw systeem kwetsbaar is door te controleren of versie 2.0.3 of eerder is geïnstalleerd.
- Overweeg uw configuratie te updaten of de plugin tijdelijk te deactiveren totdat een patch beschikbaar is.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53654?
Dit betreft een beveiligingsprobleem met de Jenkins Statistics Gatherer Plugin waarbij de AWS Secret Key ongecodeerd wordt opgeslagen.
Welke systemen zijn kwetsbaar voor CVE-2025-53654?
Systemen die de Jenkins Statistics Gatherer Plugin versie 2.0.3 of eerder gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen bekend gepubliceerde patch beschikbaar op het moment van schrijven. Raadpleeg voor de meest actuele informatie de officiële Jenkins beveiligingsadviezen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk toegang krijgen tot gevoelige gegevens door de ongecodeerde AWS Secret Key te bekijken, mits hij of zij toegang heeft tot het besturingssysteem van de Jenkins-controller.
