Er is een nieuwe kwetsbaarheid ontdekt in de Jenkins QMetry Test Management Plugin, specifiek met betrekking tot versies tot en met 1.13. CVE-2025-53660 beschrijft een probleem waarbij de Qmetry Automation API-sleutels niet voldoende zijn gemaskeerd in het configuratieformulier van de job. Dit verhoogt het risico dat aanvallers deze gevoelige informatie kunnen bekijken en onderscheppen. Deze kwetsbaarheid, beoordeeld met een CVSS-score van 4.3, heeft een gemiddeld risico.
Voor IT-beheerders is het cruciaal om direct actie te ondernemen om te voorkomen dat gevoelige API-sleutels in verkeerde handen vallen.
Overzicht
De kwetsbaarheid houdt in dat API-sleutels in platte tekst worden opgeslagen, volgens CWE-256 en CWE-522. Dit betekent dat onvoldoende beveiligde referenties zichtbaar zijn, wat de kans op misbruik verhoogt.
Aanbevelingen
- Het wordt sterk aanbevolen om te updaten naar een latere versie van de Jenkins QMetry Test Management Plugin zodra deze beschikbaar is.
- Herzie de configuratie-instellingen van uw Jenkins-omgeving om het risico op ongeautoriseerde toegang te minimaliseren.
Bronnen
Meer informatie over deze kwetsbaarheid is te vinden in het Jenkins Security Advisory van 9 juli 2025.
Vraag en Antwoord
Wat is CVE-2025-53660?
Dit is een beveiligingskwetsbaarheid in de Jenkins QMetry Test Management Plugin waarbij API-sleutels niet worden gemaskeerd, waardoor ze zichtbaar zijn voor mogelijke aanvallers.
Welke systemen zijn kwetsbaar voor CVE-2025-53660?
Jenkins-omgevingen die de QMetry Test Management Plugin versies tot en met 1.13 gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is op dit moment nog geen specifieke update vrijgegeven, maar het is aanbevolen om de website van Jenkins in de gaten te houden voor eventuele updates of patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeoorloofde toegang verkrijgen tot uw API-sleutels en mogelijk gevoelige gegevens onderscheppen of manipuleren.
