CVE-2025-24403

Nome do Software Vulnerável e Versões Afetadas Plugin Jenkins Azure Service Fabric versões 1.6 e anteriores

Descrição Uma verificação de permissão ausente no Plugin Jenkins Azure Service Fabric permite que atacantes com a permissão Overall/Read enumerem os IDs das credenciais do Azure armazenadas no Jenkins. Essa falha pode ser explorada por atacantes para potencialmente capturar as credenciais utilizando outra vulnerabilidade. O plugin afetado não executa verificações de permissão em vários endpoints HTTP, possibilitando que atacantes enumerem os IDs das credenciais.

Recomendações Para as versões 1.6 e anteriores do Plugin Jenkins Azure Service Fabric, considere desativar o plugin até que um patch esteja disponível, a fim de impedir que atacantes enumerem os IDs das credenciais do Azure armazenadas no Jenkins. Como solução alternativa temporária, restrinja o acesso aos endpoints HTTP do plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.