Jenkins 插件漏洞暴露严重风险：CVE-2025-47889 漏洞 CVSS 评分达 9.8，存在身份验证绕过漏洞

Ots安全 2025-05-16 06:41

Jenkins 是一款流行的开源自动化服务器，是许多开发和运营团队的关键工具。最近的一份安全公告指出，Jenkins 插件中存在多个严重漏洞，对 Jenkins 安装构成重大风险。

CVE-2025-47884：通过 OpenID Connect 提供程序插件构建令牌模拟（CVSS 9.1）

在新披露的漏洞中，最严重的是 CVE-2025-47884，它影响了 OpenID Connect Provider 插件。Jenkins 安全研究人员透露，该插件的构建 ID 令牌生成依赖于可覆盖的环境变量——这是一个重大疏忽。

咨询报告中指出：“构建 ID 令牌的默认声明模板使用 JOB_URL环境变量作为子（主题）声明。”

当安装诸如环境注入器插件之类的插件时，具有配置作业能力的攻击者可以制作冒充受信任作业的令牌，从而可能获得对外部服务的未经授权的访问。

CVE-2025-47885：CloudBees 插件 Health Advisor 中的存储型 XSS（CVSS 8.8）

CloudBees 插件的 Health Advisor 中还发现了存储型跨站点脚本漏洞。

报告警告说：“ CloudBees 插件 374.v194b_d4f0c8c8 及更早版本的 Health Advisor 无法逃脱 Jenkins Health Advisor 服务器的响应。”

控制 Health Advisor 服务器响应的攻击者可以注入恶意 JavaScript，该 JavaScript 随后会在未来用户访问 Jenkins 时持久存储并执行。

CVE-2025-47889：WSO2 Oauth插件中的身份验证绕过（CVSS 9.8）

或许更令人担忧的是 CVE-2025-47889，它影响了 WSO2 Oauth 插件。此漏洞允许未经身份验证的攻击者使用任何用户名和密码登录，即使是不存在的用户名和密码。

该咨询报告解释道：“身份验证声明无需经过‘WSO2 Oauth’安全领域的验证即可被接受。”

在授权策略允许“登录用户”拥有完全权限的设置中，此漏洞可能会立即将攻击者的权限提升至管理员级别。目前尚无可用修复程序。

其他值得注意的问题
– Cadence vManager 插件（CVE-2025-47886、CVE-2025-47887）：无法执行权限检查且不需要 POST 请求，从而导致 CSRF 和权限提升的可能性。

• DingTalk 插件 (CVE-2025-47888)：SSL/TLS 证书验证功能已完全禁用，导致通信面临中间人攻击的风险。目前尚未发布任何补丁。

缓解措施和补丁建议

目前已修复以下插件：
– OpenID Connect 提供程序插件 → 更新至 111.v29fd614b_3617

• CloudBees 插件的健康顾问 → 更新至 374.376.v3a_41a_a_142efe

• Cadence vManager 插件 → 更新至 4.0.1-288.v8804b_ea_a_cb_7f

对于 WSO2 Oauth 和 DingTalk 插件，请立即卸载或限制其使用，直至官方补丁发布。

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里