GHSA-26x3-7jw5-7mg4

Опубликовано: 09 июл. 2025

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins Statistics Gatherer Plugin does not mask AWS Secret Key

Jenkins Statistics Gatherer Plugin 2.0.3 and earlier stores the AWS Secret Key unencrypted in its global configuration file org.jenkins.plugins.statistics.gatherer.StatisticsConfiguration.xml on the Jenkins controller as part of its configuration.

This key can be viewed by users with access to the Jenkins controller file system.

Additionally, the global configuration form does not mask this key, increasing the potential for attackers to observe and capture it.

As of publication of this advisory, there is no fix.

Ссылки

Пакеты

Наименование

org.jenkins.plugins.statistics.gatherer:statistics-gatherer

maven

Затронутые версииВерсия исправления

<= 2.0.3

Отсутствует

EPSS

Процентиль: 14%

0.00046

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-53655

Дефекты

CWE-256

Связанные уязвимости

CVE-2025-53655

CVSS3: 5.3

nvd

около 1 месяца назад

Jenkins Statistics Gatherer Plugin 2.0.3 and earlier does not mask the AWS Secret Key on the global configuration form, increasing the potential for attackers to observe and capture it.

BDU:2025-08321

CVSS3: 5.3

fstec

около 1 месяца назад

Уязвимость плагина Statistics Gatherer сервера автоматизации Jenkins, связанная с хранением секретного ключа AWS в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 14%

0.00046

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-53655

Дефекты

CWE-256