熱門的開源自動化伺服器Jenkins在上周的安全公告中揭露5個外掛程式的安全漏洞,其中,最嚴重的是WSO2 OAuth的身分驗證繞過漏洞CVE-2025-47889,它的CVSS風險評分高達9.8,另一個同屬重大(Critical)漏洞的是涉及OpenID Connect 的CVE-2025-47884,其CVSS風險評分為9.1。
WSO2 OAuth為Jenkins上的一個身分驗證外掛程式,可讓使用者透過OAuth 2.0協議登錄Jenkins。然而,CVE-2025-47889允許駭客使用任意帳號與密碼登入Jenkins,包括不存在的用戶名稱,若授權政策設定為「登入用戶擁有全部權限」,那麼駭客即可直接取得管理員控制權,等於接管Jenkins。
由於CVE-2025-47889尚未被修補,使用者應該直接停用它,改用其它的身份驗證方式。
至於OpenID Connect Provider亦為Jenkins上的身分驗證外掛程式,整合基於OpenID Connect(OIDC)的單點登錄功能,還能替每個Jenkins任務生成ID Token,供外部服務驗證身分。而當該外掛程式使用環境變數來組裝ID Token時,並未檢查這些變數是否被惡意竄改過,而形成CVE-2025-47884漏洞,可能允許駭客冒充他人身分,或是污染供應鏈。
開發者已禁止使用被覆蓋的環境變數生成Token,修補了CVE-2025-47884。
其它漏洞還包括涉及Health Advisor by CloudBees的CVE-2025-47885,與Cadence vManager有關的CVE-2025-47886與CVE-2025-47887,以及DingTalk的CVE-2025-47888。
其中,Health Advisor by CloudBees是專門用來分析Jenkins實例性能與安全狀態的健康監測外掛程式,可上傳分析資料至CloudBees伺服器並取得建議,而CVE-2025-47885則允許駭客偽造伺服器回應,於Jenkins管理介面植入惡意程式,CVSS風險評分為8.8,被視為高風險漏洞。另外3個漏洞則被列為中度風險漏洞。
熱門新聞
2025-06-16
2025-06-16
2025-06-13
2025-06-13
2025-06-13
2025-06-16
