2025-1262: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Benutzerrechten

Historie:

Version 1 (2025-05-15 18:01)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Benutzerrechte zu erlangen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: OpenID Connect Provider Plugin 111.v29fd614b_3617, Health Advisor by CloudBees Plugin 374.376.v3a_41a_a_142efe, Cadence vManager Plugin 4.0.1-288.v8804b_ea_a_cb_7f

Für DingTalk Plugin 2.7.3 und WSO2 Oauth Plugin 1.0 stehen derzeit noch keine Sicherheitsupdates zu Verfügung.

Schwachstellen:

CVE-2025-47884

Schwachstelle in OpenID Connect Provider Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-47885

Schwachstelle in Health Advisor by CloudBees Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2025-47886

Schwachstelle in Cadence vManager Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-47887

Schwachstelle in Cadence vManager Plugin ermöglicht Privilegieneskalation

CVE-2025-47888

Schwachstelle in DingTalk Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-47889

Schwachstelle in WSO2 Oauth Plugin ermöglicht Erlangen von Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.