PT-2025-28905 · Jenkins · Jenkins Aqua Security Scanner Plugin+1
Aris Issad
·
Publicado
2025-07-09
·
Atualizado
2025-07-18
·
CVE-2025-53653
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Plugin Jenkins Aqua Security Scanner versões 3.2.8 e anteriores
Descrição:
O Plugin Jenkins Aqua Security Scanner armazena Tokens do Scanner para a API Aqua não criptografados em arquivos
job config.xml no controlador Jenkins. Esses tokens estão acessíveis a usuários com permissão Item/Extended Read ou àqueles com acesso ao sistema de arquivos do controlador Jenkins.Recomendações:
Versões anteriores à 3.2.8: Garanta que o acesso aos arquivos
job config.xml no controlador Jenkins seja restrito apenas a pessoal autorizado. Limite as permissões Item/Extended Read apenas aos usuários que as necessitam.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Missing Encryption of Sensitive Data
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Aqua Security Scanner Plugin