Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-04588

Опубликовано: 10 апр. 2025
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость SSH-клиента ssh-agent сервера автоматизации Jenkins связана с ошибками в коде генератора псевдослучайных чисел при генерации ключей хоста. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек посередине»

Вендор

CD Foundation

Наименование ПО

ssh-agent

Версия ПО

до 6.11.1 включительно (ssh-agent)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Обновление программного средства до версии 6.11.2 и выше:
https://hub.docker.com/layers/jenkins/ssh-agent/6.11.2/images/sha256-d73d627f9759b6437044ec8a116a880ab147cc3a204a2e658a9121cb19578378

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00213
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-32754

CVSS3: 9.1
nvd
10 месяцев назад

In jenkins/ssh-agent Docker images 6.11.1 and earlier, SSH host keys are generated on image creation for images based on Debian, causing all containers based on images of the same version use the same SSH host keys, allowing attackers able to insert themselves into the network path between the SSH client (typically the Jenkins controller) and SSH build agent to impersonate the latter.

github логотип

GHSA-x97h-g784-4pw8

CVSS3: 9.1
github
10 месяцев назад

In jenkins/ssh-agent Docker images 6.11.1 and earlier, SSH host keys are generated on image creation for images based on Debian, causing all containers based on images of the same version use the same SSH host keys, allowing attackers able to insert themselves into the network path between the SSH client (typically the Jenkins controller) and SSH build agent to impersonate the latter.

EPSS

Процентиль: 44%
0.00213
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2