2025-0844: Jenkins, Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-04-03 15:52): Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Cross-Site-Request-Forgery (CSRF)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Für Jenkins liegen Sicherheitsupdates in Form der Versionen 2.504 und 2.492.3 LTS vor, um die betreffenden Sicherheitslücken zu schließen.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Cadence vManager Plugin Version 4.0.1-286.v9e25a_740b_a_48, Simple Queue Plugin Version 1.4.7 und Templating Engine Plugin Version 2.5.4.

Für das AsakusaSatellite Plugin, monitor-remote-job Plugin und Stack Hammer Plugin stehen keine Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2025-31720

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2025-31721

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2025-31722

Schwachstelle in Templating Engine Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-31723

Schwachstelle in Simple Queue Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2025-31724

Schwachstelle in Cadence vManager Plugin ermöglicht Ausspähen von Informationen

CVE-2025-31725

Schwachstelle in monitor-remote-job Plugin ermöglicht Ausspähen von Informationen

CVE-2025-31726

Schwachstelle in Stack Hammer Plugin ermöglicht Ausspähen von Informationen

CVE-2025-31727

Schwachstelle in AsakusaSatellite Plugin ermöglicht Ausspähen von Informationen

CVE-2025-31728