Alvorlige sårbarheder i Plugins til Jenkins

Den 29. okt. 2025 udgav Jenkins sin "Security Advisory" for oktober. I denne er der observeret flere alvorlige sårbarheder i diverse plugins til Jenkins. 

DKCERT fremhæver Azure CLI, SAML & JDepend plugins. 

De berørte systemer er: 

• Jenkins Azure CLI Plugin - 0 ≤0.9
• Jenkins SAML Plugin - 0 ≤4.583.vc68232f7018a_
• Jenkins JDepend Plugin - 0 ≤1.3.1

EUVD-2025-36658 / CVE-2025-64140

Azure CLI-plugin 0.9 og tidligere begrænser ikke hvilke kommandoer den udfører på Jenkins-controlleren. Dette kan give en ondsindet aktør med Item/Configure-tilladelse muligheden for at udføre vilkårlige shell-kommandoer på Jenkins-controlleren. CVSS-scoren er 8,8 og EPSS 0,7 pct. 

EUVD-2025-36652 / CVE-2025-64131

SAML-plugin 4.583.vc68232f7018a_ og tidligere implementerer ikke en replay-cache. Dette kan give ondsindet aktører, der er i stand til at få information om SAML-autentificeringsforløbet mellem en brugers webbrowser og Jenkins, muligheden for at afspille disse anmodninger og autentificere til Jenkins som den bruger. CVSS-scoren er 7,5 og EPSS-scoren 0,06 pct.

SAML-plugin 4.583.585.v22ccc1139f55 implementerer en replay-cache der afviser gentagne forespørgsler.

EUVD-2025-36649 / CVE-2025-64134

JDepend Plugin 1.3.1 og tidligere inkluderer en forældet version af JDepend Maven Plugin, som ikke konfigurerer sin XML-parser til at forhindre XML ekstern enhed (XXE) angreb. Dette kan give ondsindet aktører, der kan konfigurere inputfiler til "Report JDepend"-trinnet, muligheden for at få Jenkins til at analysere en manipuleret fil der bruger eksterne enheder til udtrækning af hemmeligheder fra Jenkins-kontrolleren eller server-side request forgery. CVSS-scoren er 7,1 og EPSS-scoren 0,04 pct.

Det anbefales at opdatere sårbare plugins med det samme, jf. producentens anvisninger.

Azure CLI & JDepend plugins har ikke fået implementeret opdateringer endnu, hvorfor det anbefales at holde øje med Jenkins' advisories.