GHSA-3wgg-3j4j-3f69

Опубликовано: 09 июл. 2025

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins Aqua Security Scanner Plugin vulnerability exposes scanner tokens

Jenkins Aqua Security Scanner Plugin 3.2.8 and earlier stores Scanner Tokens for Aqua API unencrypted in job config.xml files on the Jenkins controller as part of its configuration.

These tokens can be viewed by users with Item/Extended Read permission or access to the Jenkins controller file system.

As of publication of this advisory, there is no fix.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:aqua-security-scanner

maven

Затронутые версииВерсия исправления

<= 3.2.8

Отсутствует

EPSS

Процентиль: 8%

0.00034

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-53653

Дефекты

CWE-311

CWE-522

Связанные уязвимости

CVE-2025-53653

CVSS3: 4.3

nvd

2 месяца назад

Jenkins Aqua Security Scanner Plugin 3.2.8 and earlier stores Scanner Tokens for Aqua API unencrypted in job config.xml files on the Jenkins controller, where they can be viewed by users with Item/Extended Read permission or access to the Jenkins controller file system.

BDU:2025-08308

CVSS3: 4.3

fstec

2 месяца назад

Уязвимость плагина Aqua Security Scanner сервера автоматизации Jenkins, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 8%

0.00034

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-53653

Дефекты

CWE-311

CWE-522