GHSA-pgrx-5f8q-r5mq

Опубликовано: 09 июл. 2025

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins IBM Cloud DevOps Plugin vulnerability exposes SonarQube authentication tokens

Jenkins IBM Cloud DevOps Plugin 2.0.16 and earlier stores SonarQube authentication tokens unencrypted in job config.xml files on the Jenkins controller as part of its configuration.

These tokens can be viewed by users with Item/Extended Read permission or access to the Jenkins controller file system.

As of publication of this advisory, there is no fix.

Ссылки

Пакеты

Наименование

com.ibm.devops:ibm-cloud-devops

maven

Затронутые версииВерсия исправления

<= 2.0.16

Отсутствует

EPSS

Процентиль: 10%

0.00037

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-53663

Дефекты

CWE-311

CWE-522

Связанные уязвимости

CVE-2025-53663

CVSS3: 6.5

nvd

2 месяца назад

Jenkins IBM Cloud DevOps Plugin 2.0.16 and earlier stores SonarQube authentication tokens unencrypted in job config.xml files on the Jenkins controller, where they can be viewed by users with Item/Extended Read permission or access to the Jenkins controller file system.

BDU:2025-08318

CVSS3: 6.5

fstec

2 месяца назад

Уязвимость плагина IBM Cloud DevOps сервера автоматизации Jenkins, связанная с хранением ключей в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 10%

0.00037

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-53663

Дефекты

CWE-311

CWE-522