Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redos логотип

ROS-20250417-03

Опубликовано: 17 апр. 2025
Источник: redos

Описание

Множественные уязвимости jenkins

Наименование уязвимого пакета

jenkins

Пакет обновления

jenkins-0:2.492.3-1.el7.noarch

Версия уязвимого пакета младше

2.492.3-1

Возможные меры по устранению уязвимости

Запретить использование в ОС пакета Jenkins или Установить обновление для пакета(ов) Jenkins

Версия ОС

7.3

Архитектура ОС

x86_64

Дата публикации бюллетеня

17.04.2025

CVE-2025-27622

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость сервера автоматизации Jenkins связана с тем, что уязвимый плагин не редактирует зашифрованные значения секретов при доступе к config.xml агентов через REST API или CLI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к потенциально конфиденциальной информации

4.3 Medium

CVSS3

4 Medium

CVSS2

CVE-2025-31720

Идентификатор БДУ ФСТЭК России:

BDU:2025-03792

Описание уязвимости:

Уязвимость сервера автоматизации Jenkins связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и получить несанкционированный доступ к защищаемой информации

4.3 Medium

CVSS3

4 Medium

CVSS2

CVE-2025-31721

Идентификатор БДУ ФСТЭК России:

BDU:2025-03793

Описание уязвимости:

Уязвимость сервера автоматизации Jenkins связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и получить несанкционированный доступ к защищаемой информации

4.3 Medium

CVSS3

4 Medium

CVSS2

CVE-2025-27623

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость сервера автоматизации Jenkins связана с тем, что уязвимый плагин не редактирует зашифрованные значения секретов при доступе к config.xml агентов через REST API или CLI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к потенциально конфиденциальной информации

4.3 Medium

CVSS3

4 Medium

CVSS2

CVE-2025-27624

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость сервера автоматизации Jenkins связана с недостаточной проверкой источника HTTP-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаки по подделке межсайтовых запросов

5.4 Medium

CVSS3

6.4 Medium

CVSS2

CVE-2025-27625

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость сервера автоматизации Jenkins связана с неправильной очисткой данных, предоставленных пользователем. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправлять жертв на произвольный URL-адрес

4.3 Medium

CVSS3

5 Medium

CVSS2