3月5日以提供持續整合(CI)開發工具而著稱的Jenkins,宣布修補4項中度風險的漏洞CVE-2025-27622、CVE-2025-27623、CVE-2025-27624、CVE-2025-27625,用戶可透過升級至最新版2.500、長期支援版LTS 2.492.2,獲得弱點修補,特別的是,前兩項漏洞與Jenkins在2016年公布的弱點有關,這些漏洞涉及代理程式使用REST API或命令列(CLI)存取的過程,並未如預期對config.xml存放的機敏資訊加密數值進行適當處理,而有可能讓攻擊者有機會能夠檢視相關資料。開發團隊提及,這些漏洞與另一個已知漏洞CVE-2016-3724有關,該漏洞能讓攻擊者有機會讀取組態資料當中,經加密處理的帳密資料。
至於Jenkins此次公開的其餘兩項漏洞CVE-2025-27624、CVE-2025-27625,雖然是中等風險資安漏洞,但不能因此輕忽,它們的類型分別是跨網站請求偽造(CSRF)、開放重新導向(Open Redirect),攻擊者有機會操蹤使用者側邊欄小工具收合狀態,或是將使用者導向其他網站。
熱門新聞
2025-03-10
2025-03-10
2025-03-10
2025-03-10
2025-03-07
Advertisement