GHSA-p34j-r3ch-c985

Опубликовано: 06 мар. 2025

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins reveals encrypted values of secrets stored in agent configuration to users with Agent/Extended Read permission

Jenkins 2.499 and earlier, LTS 2.492.1 and earlier does not redact encrypted values of secrets when accessing config.xml of agents via REST API or CLI.

This allows attackers with Agent/Extended Read permission to view encrypted values of secrets.

Jenkins 2.500, LTS 2.492.2 redacts the encrypted values of secrets stored in agent config.xml accessed via REST API or CLI for users lacking Agent/Configure permission.

Ссылки

Пакеты

Наименование

org.jenkins-ci.main:jenkins-core

maven

Затронутые версииВерсия исправления

>= 2.493, < 2.500

2.500

Наименование

org.jenkins-ci.main:jenkins-core

maven

Затронутые версииВерсия исправления

< 2.492.2

2.492.2

EPSS

Процентиль: 1%

0.00012

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-27622

Дефекты

CWE-312

Связанные уязвимости

CVE-2025-27622

CVSS3: 4.3

redhat

4 месяца назад

Jenkins 2.499 and earlier, LTS 2.492.1 and earlier does not redact encrypted values of secrets when accessing `config.xml` of agents via REST API or CLI, allowing attackers with Agent/Extended Read permission to view encrypted values of secrets.

CVE-2025-27622

CVSS3: 4.3

nvd

4 месяца назад

BDU:2025-04961

CVSS3: 4.3

fstec

4 месяца назад

Уязвимость сервера автоматизации Jenkins, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

ROS-20250417-03

CVSS3: 5.4

redos

2 месяца назад

Множественные уязвимости jenkins

EPSS

Процентиль: 1%

0.00012

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-27622

Дефекты

CWE-312