PT-2025-38152 · Jenkins+1 · Jenkins+2

Daniel Beck

·

Publicado

2025-09-17

·

Atualizado

2025-10-22

·

CVE-2025-59475

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do Jenkins 2.527 e anteriores Versões LTS do Jenkins 2.516.2 e anteriores
Descrição O Jenkins não realiza uma verificação de permissão para o menu suspenso do perfil de usuário autenticado. Isso permite que atacantes sem a permissão Overall/Read obtenham informações limitadas sobre a configuração do Jenkins ao listar as opções disponíveis neste menu, como por exemplo se o Plugin de Credenciais está instalado.
Recomendações Atualize o Jenkins para uma versão superior à 2.527. Atualize o Jenkins LTS para uma versão superior à 2.516.2.

Correção

Improper Access Control

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-862

Identificadores relacionados

BDU:2025-13362
BIT-JENKINS-2025-59475
CVE-2025-59475
GHSA-223M-4RFP-646H

Produtos afetados

Credentials Plugin
Jenkins
Red Os