GHSA-3c9f-c64m-h4wc

Опубликовано: 09 июл. 2025

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins Statistics Gatherer Plugin vulnerability exposes AWS Secret Key

Jenkins Statistics Gatherer Plugin 2.0.3 and earlier stores the AWS Secret Key unencrypted in its global configuration file org.jenkins.plugins.statistics.gatherer.StatisticsConfiguration.xml on the Jenkins controller as part of its configuration.

This key can be viewed by users with access to the Jenkins controller file system.

Additionally, the global configuration form does not mask this key, increasing the potential for attackers to observe and capture it.

As of publication of this advisory, there is no fix.

Ссылки

Пакеты

Наименование

org.jenkins.plugins.statistics.gatherer:statistics-gatherer

maven

Затронутые версииВерсия исправления

<= 2.0.3

Отсутствует

EPSS

Процентиль: 9%

0.00036

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-53654

Дефекты

CWE-522

Связанные уязвимости

CVE-2025-53654

CVSS3: 6.5

nvd

2 месяца назад

Jenkins Statistics Gatherer Plugin 2.0.3 and earlier stores the AWS Secret Key unencrypted in its global configuration file on the Jenkins controller, where it can be viewed by users with access to the Jenkins controller file system.

BDU:2025-08310

CVSS3: 6.5

fstec

2 месяца назад

Уязвимость плагина Statistics Gatherer сервера автоматизации Jenkins, связанная с хранением секретного ключа AWS в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 9%

0.00036

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-53654

Дефекты

CWE-522