CVE-2025-27623

Опубликовано: 05 мар. 2025

Источник: nvd

CVSS3: 4.3

EPSS Низкий

Описание

Jenkins 2.499 and earlier, LTS 2.492.1 and earlier does not redact encrypted values of secrets when accessing config.xml of views via REST API or CLI, allowing attackers with View/Read permission to view encrypted values of secrets.

Ссылки

https://www.jenkins.io/security/advisory/2025-03-05/#SECURITY-3496
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:jenkins:jenkins:*:*:*:*:lts:*:*:*

Версия до 2.492.2 (исключая)

cpe:2.3:a:jenkins:jenkins:*:*:*:*:-:*:*:*

Версия до 2.500 (исключая)

EPSS

Процентиль: 51%

0.00279

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-312

Связанные уязвимости

CVE-2025-27623

CVSS3: 4.3

redhat

10 месяцев назад

Jenkins 2.499 and earlier, LTS 2.492.1 and earlier does not redact encrypted values of secrets when accessing `config.xml` of views via REST API or CLI, allowing attackers with View/Read permission to view encrypted values of secrets.

GHSA-rfh6-9r2q-98vf

CVSS3: 4.3

github

10 месяцев назад

Jenkins reveals encrypted values of secrets stored in agent configuration to users with Agent/Extended Read permission

BDU:2025-04962

CVSS3: 4.3

fstec

10 месяцев назад

Уязвимость сервера автоматизации Jenkins, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

ROS-20250417-03

CVSS3: 5.4

redos

8 месяцев назад

Множественные уязвимости jenkins

EPSS

Процентиль: 51%

0.00279

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-312