BDU:2025-08322

Опубликовано: 09 июл. 2025

Источник: fstec

CVSS3: 6.5

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость плагина ReadyAPI Functional Testing сервера автоматизации Jenkins связана с хранением регистрационных данных в открытом виде в файле config.xml. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

CD Foundation

Наименование ПО

ReadyAPI Functional Testing

Версия ПО

до 1.11 включительно (ReadyAPI Functional Testing)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Компенсирующие меры:

- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

https://www.jenkins.io/security/advisory/2025-07-09/

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-53656
CVE

EPSS

Процентиль: 35%

0.00141

Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2025-53656

CVSS3: 6.5

nvd

2 месяца назад

Jenkins ReadyAPI Functional Testing Plugin 1.11 and earlier stores SLM License Access Keys, client secrets, and passwords unencrypted in job config.xml files on the Jenkins controller, where they can be viewed by users with Item/Extended Read permission or access to the Jenkins controller file system.

GHSA-884f-p57j-f258

CVSS3: 4.3

github