Jenkins 修复CSRF和开放重定向等多个漏洞
Jenkins 修复CSRF和开放重定向等多个漏洞
do son 代码卫士 2025-03-07 18:06
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
热门开源自动化服务器Jenkins 发布安全公告修复多个漏洞,其中包括加密机密泄露和跨站请求伪造 (CSRF) 漏洞。
该安全公告在2025年3月5日发布,它详述了影响 Jenkins 2.499及之前版本和 LTS 2.492.1及之前版本的三个漏洞。在这三个漏洞中,最严重的是CVE-2025-27622,可导致具有“Agent/Extended 读权限的攻击者查看机密的加密值”。该漏洞是因为在通过 REST API 或 CLI 访问代理配置时未能编辑加密机密时造成的。
第二个漏洞CVE-2025-27623与上述漏洞类似,影响视图配置,可导致“具有查看/读取权限的攻击者查看机密的加密值”。
第三个漏洞是CSRF 漏洞CVE-2025-27642,影响2.500和LTS 2.492.2 版本,可导致攻击者“切换侧边栏工具的 collapsed/expanded 状态”,并可能在受害者的用户资料中存储受攻击者控制的内容。
Jenkins 已在版本2.500和LTS 2.492.2中修复了这些漏洞。强烈建议用户将Jenkins 实例更新至最新版本以缓解这些安全风险。该公告还详述了一个开放重定向漏洞CVE-2025-27625,可导致攻击者执行钓鱼攻击。建议Jenkins 用户和管理员查看完整的安全公告并采取必要措施保护系统安全。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞
原文链接
CSRF and Open Redirect: Jenkins Patches Major Vulnerabilities
题图:
Pixabay
License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~