Schwachstellen in Jenkins-Plug-ins gefährden Entwicklungsumgebungen
Aktuelle Versionen von mehreren Jenkins-Plug-ins schlieĂźen diverse SicherheitslĂĽcken.
(Bild: JLStock/Shutterstock.com)
Unter bestimmten Bedingungen können Angreifer Softwareentwicklungsserver mit Jenkins-Plug-ins attackieren. Darunter fallen etwa die Plug-ins Azure Service Fabric und Zoom.
In einer Warnmeldung listen die Entwickler die verwundbaren Plug-ins auf. Die Lücken in Bitbucket Server Integration (CVE-2025-24398) und OpenId Connect Authentication (CVE—2025-24399) sind mit dem Bedrohungsgrad "hoch" eingestuft.
Nach erfolgreichen Attacken können Angreifer unter anderem über präparierte URLs den Schutz vor Cross-site-Request-Forgery-Attacken (CSFR) deaktivieren. Außerdem ist der Zugriff auf unverschlüsselte Tokens möglich. Die dagegen gerüsteten Plug-in-Versionen sind in der Warnmeldung aufgelistet.
(des)
