Jenkins-Sicherheitslücken: SAML-Authentifizierung und MCP-Server-Plugin betroffen

Nutzer des Jenkins-Automatisierungsservers stehen nach der Offenlegung von 14 Sicherheitslücken in mehreren Plugins vor ernsten Risiken. Die Warnung beschreibt ein weit verbreitetes Muster: Mechanismen zur Umgehung der Authentifizierung, mangelhafte Durchsetzung von Berechtigungen und Probleme bei der Offenlegung von Anmeldedaten. Zusammengenommen gefährden diese Mängel die CI/CD-Infrastruktur von Unternehmen nachhaltig.

Besonders kritisch ist eine Schwachstelle im SAML-Plugin (CVE-2025-64131) mit einem CVSS-Wert von 8,4. In den Versionen bis einschließlich 4.583.vc68232f7018a fehlt dem Plugin ein Replay-Cache. Dadurch können Angreifer SAML-Authentifizierungsanfragen zwischen Browser und Jenkins abfangen und wiederverwenden — ein direkter Angriff auf Benutzersitzungen.

Schweregrad

• SECURITY-2936: Hoch
• SECURITY-3326: Mittel
• SECURITY-3517: Mittel
• SECURITY-3531: Mittel
• SECURITY-3538: Hoch
• SECURITY-3550: Mittel
• SECURITY-3553: Mittel
• SECURITY-3560: Mittel
• SECURITY-3562: Mittel
• SECURITY-3570: Mittel
• SECURITY-3576: Mittel
• SECURITY-3583: Mittel
• SECURITY-3613: Hoch
• SECURITY-3622: Mittel

Beschreibungen

Replay-Sicherheitslücke im SAML-Plugin

SECURITY-3613 / CVE-2025-64131

Schweregrad (CVSS): Hoch

Betroffenes Plugin:

Beschreibung:

Das SAML-Plugin 4.583.vc68232f7018a_ und frühere Versionen implementieren keinen Replay-Cache.

Dadurch können Angreifer Informationen über den SAML-Authentifizierungsfluss zwischen dem Webbrowser eines Benutzers und Jenkins abrufen, um diese Anfragen wiederzugeben und sich als dieser Benutzer bei Jenkins zu authentifizieren.

Das SAML-Plugin 4.583.585.v22ccc1139f55 implementiert einen Replay-Cache, der wiedergegebene Anfragen ablehnt.

Fehlende Berechtigungsprüfungen im MCP Server Plugin

SECURITY-3622 / CVE-2025-64132

Schweregrad (CVSS): Mittel

Betroffenes Plugin:

Beschreibung:

Das MCP Server Plugin 0.84.v50ca_24ef83f2 und frühere Versionen führen in mehreren MCP-Tools keine Berechtigungsprüfungen durch.

Dadurch ist Folgendes möglich:

• Angreifer mit Item/Read-Berechtigung können Informationen über das konfigurierte SCM in einem Job abrufen, obwohl ihnen die Item/Extended Read-Berechtigung fehlt (getJobScm).
• Angreifer mit Item/Read-Berechtigung können neue Builds eines Jobs auslösen, obwohl ihnen die Item/Build-Berechtigung fehlt (triggerBuild).
• Angreifer ohne Overall/Read-Berechtigung können die Namen der konfigurierten Clouds abrufen (getStatus).

MCP Server Plugin 0.86.v7d3355e6a_a_18 führt Berechtigungsprüfungen für die betroffenen MCP-Tools durch.

CSRF-Schwachstelle im Extensible Choice Parameter Plugin

SECURITY-3583 / CVE-2025-64133

Schweregrad (CVSS): Mittel

Beschreibung:

Das Extensible Choice Parameter Plugin 239.v5f5c278708cf und frühere Versionen erfordern keine POST-Anfragen für einen HTTP-Endpunkt, was zu einer Cross-Site-Request-Forgery-Sicherheitslücke (CSRF) führt.

Diese Sicherheitslücke ermöglicht es Angreifern, sandboxed Groovy-Code auszuführen.

Zum Zeitpunkt der Veröffentlichung dieses Hinweises gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

XXE-Sicherheitslücke im JDepend-Plugin

SECURITY-2936 / CVE-2025-64134

Schweregrad (CVSS): Hoch

Beschreibung:

JDepend Plugin 1.3.1 und frühere Versionen enthalten eine veraltete Version des JDepend Maven Plugins, dessen XML-Parser nicht so konfiguriert ist, dass er Angriffe mit externen XML-Entitäten (XXE) verhindert.

Dadurch können Angreifer Eingabedateien für den Schritt „Report JDepend” so konfigurieren, dass Jenkins eine manipulierte Datei parst, die externe Entitäten zur Extraktion von Geheimnissen aus dem Jenkins-Controller oder zur serverseitigen Request-Fälschung verwendet.

Zum Zeitpunkt der Veröffentlichung dieses Hinweises gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

Java-Schutzmechanismus im Eggplant Runner Plugin deaktiviert

SECURITY-3326 / CVE-2025-64135

Schweregrad (CVSS): Mittel

Beschreibung:

Eggplant Runner Plugin 0.0.1.301.v963cffe8ddb_8 und frühere Versionen setzen die Java-Systemeigenschaft jdk.http.auth.tunneling.disabledSchemes im Rahmen der Anwendung einer Proxy-Konfiguration auf einen leeren Wert.

Dadurch wird ein Schutzmechanismus der Java-Laufzeitumgebung deaktiviert, der CVE-2016-5597 adressiert.

Zum Zeitpunkt der Veröffentlichung dieses Hinweises gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

CSRF-Sicherheitslücke und fehlende Berechtigungsprüfung im Themis-Plugin

SECURITY-3517 / CVE-2025-64136 (CSRF), CVE-2025-64137 (Berechtigungsprüfung)

Schweregrad (CVSS): Mittel

Beschreibung:

Das Themis-Plugin 1.4.1 und frühere Versionen führen keine Berechtigungsprüfung in einem HTTP-Endpunkt durch.

Dadurch können Angreifer mit Overall-/Read-Berechtigungen eine Verbindung zu einer vom Angreifer angegebenen URL herstellen.

Darüber hinaus erfordert dieser Endpunkt keine POST-Anfragen, was zu einer Cross-Site-Request-Forgery-Sicherheitslücke (CSRF) führt.

Zum Zeitpunkt der Veröffentlichung dieser Empfehlung gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

CSRF-Sicherheitslücke und fehlende Berechtigungsprüfung im Start Windocks Containers Plugin

SECURITY-3531 / CVE-2025-64138 (CSRF), CVE-2025-64139 (Berechtigungsprüfung)

Schweregrad (CVSS): Mittel

Beschreibung:

Das Start Windocks Containers Plugin 1.4 und frühere Versionen führen keine Berechtigungsprüfung in einem HTTP-Endpunkt durch.

Dadurch können Angreifer mit Overall/Read-Berechtigung eine Verbindung zu einer vom Angreifer angegebenen URL herstellen.

Darüber hinaus erfordert dieser Endpunkt keine POST-Anfragen, was zu einer Cross-Site-Request-Forgery-Sicherheitslücke (CSRF) führt.

Zum Zeitpunkt der Veröffentlichung dieses Hinweises gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

Sicherheitslücke durch Shell-Befehlsinjektion im Azure CLI-Plugin

SECURITY-3538 / CVE-2025-64140

Schweregrad (CVSS): Hoch

Beschreibung:

Azure CLI Plugin 0.9 und frühere Versionen schränken nicht ein, welche Befehle auf dem Jenkins-Controller ausgeführt werden.

Dadurch können Angreifer mit Item/Configure-Berechtigungen beliebige Shell-Befehle auf dem Jenkins-Controller ausführen.

Zum Zeitpunkt der Veröffentlichung dieses Hinweises gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

CSRF-Sicherheitslücke und fehlende Berechtigungsprüfungen im Nexus Task Runner Plugin

SECURITY-3550 / CVE-2025-64141 (CSRF), CVE-2025-64142 (Berechtigungsprüfung)

Schweregrad (CVSS): Mittel

Beschreibung:

Das Nexus Task Runner Plugin 0.9.2 und frühere Versionen führen keine Berechtigungsprüfung in einem HTTP-Endpunkt durch.

Dadurch können Angreifer mit Overall/Read-Berechtigung eine Verbindung zu einer vom Angreifer angegebenen URL herstellen, indem sie einen vom Angreifer angegebenen Benutzernamen und ein Passwort verwenden.

Darüber hinaus erfordert dieser Endpunkt keine POST-Anfragen, was zu einer Cross-Site-Request-Forgery-Sicherheitslücke (CSRF) führt.

Zum Zeitpunkt der Veröffentlichung dieses Hinweises gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

Autorisierungstoken werden vom OpenShift Pipeline Plugin im Klartext gespeichert

SECURITY-3553 / CVE-2025-64143

Schweregrad (CVSS): Mittel

Beschreibung:

OpenShift Pipeline Plugin 1.0.57 und frühere Versionen speichern Autorisierungstoken unverschlüsselt in den Job-Konfigurationsdateien config.xml auf dem Jenkins-Controller als Teil ihrer Konfiguration.

Diese Token können von Benutzern mit Item/Extended Read-Berechtigung oder Zugriff auf das Dateisystem des Jenkins-Controllers eingesehen werden.

Zum Zeitpunkt der Veröffentlichung dieses Hinweises gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

API-Token werden vom ByteGuard Build Actions Plugin im Klartext gespeichert

SECURITY-3560 / CVE-2025-64144 (Speicherung), CVE-2025-64145 (Maskierung)

Schweregrad (CVSS): Mittel

Beschreibung:

ByteGuard Build Actions Plugin 1.0 und frühere Versionen speichern API-Token unverschlüsselt in den Job-Konfigurationsdateien config.xml auf dem Jenkins-Controller als Teil ihrer Konfiguration.

Diese Token können von Benutzern mit Item/Extended Read-Berechtigung oder Zugriff auf das Jenkins-Controller-Dateisystem eingesehen werden.

Darüber hinaus werden diese Anmeldedaten im Job-Konfigurationsformular nicht maskiert, was die Wahrscheinlichkeit erhöht, dass Angreifer sie beobachten und erfassen können.

Zum Zeitpunkt der Veröffentlichung dieses Hinweises gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

API-Schlüssel werden vom Curseforge Publisher Plugin im Klartext gespeichert

SECURITY-3562 / CVE-2025-64146 (Speicherung), CVE-2025-64147 (Maskierung)

Schweregrad (CVSS): Mittel

Beschreibung:

Curseforge Publisher Plugin 1.0 und frühere Versionen speichern API-Schlüssel unverschlüsselt in den Dateien „job config.xml“ auf dem Jenkins-Controller als Teil ihrer Konfiguration.

Diese Schlüssel können von Benutzern mit Item/Extended Read-Berechtigung oder Zugriff auf das Dateisystem des Jenkins-Controllers eingesehen werden.

Darüber hinaus werden diese Schlüssel im Job-Konfigurationsformular nicht maskiert, was das Risiko erhöht, dass Angreifer sie einsehen und erfassen können.

Zum Zeitpunkt der Veröffentlichung dieser Sicherheitsempfehlung gibt es noch keine Lösung. Erfahren Sie, warum wir dies bekannt geben.

Fehlende Berechtigungsprüfung im Plugin „Publish to Bitbucket” ermöglicht das Aufzählen von Anmelde-IDs

SECURITY-3570 / CVE-2025-64148

Schweregrad (CVSS): Mittel

Beschreibung:

Das Plugin „Publish to Bitbucket“ 0.4 und frühere Versionen führen keine Berechtigungsprüfung in einer Methode durch, die die Formularvalidierung implementiert.

Dadurch können Angreifer mit Gesamt-/Lesezugriffsrechten die Anmelde-IDs der in Jenkins gespeicherten Anmeldedaten auflisten. Diese können als Teil eines Angriffs verwendet werden, um die Anmeldedaten mithilfe einer anderen Schwachstelle zu erfassen.

Zum Zeitpunkt der Veröffentlichung dieses Hinweises gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

CSRF-Sicherheitslücke und fehlende Berechtigungsprüfung im Plugin „Publish to Bitbucket”

SECURITY-3576 / CVE-2025-64149 (CSRF), CVE-2025-64150 (Berechtigungsprüfung)

Schweregrad (CVSS): Mittel

Beschreibung:

Das Plugin „Publish to Bitbucket“ 0.4 und frühere Versionen führen keine Berechtigungsprüfung in einem HTTP-Endpunkt durch.

Dadurch können Angreifer mit Gesamt-/Lesezugriffsrechten eine Verbindung zu einer vom Angreifer angegebenen HTTP-URL herstellen, indem sie vom Angreifer angegebene Anmeldeinformationen verwenden, die sie auf andere Weise erhalten haben, und so die in Jenkins gespeicherten Anmeldeinformationen erfassen.

Darüber hinaus erfordert dieser Endpunkt keine POST-Anfragen, was zu einer Cross-Site-Request-Forgery-Sicherheitslücke (CSRF) führt.

Zum Zeitpunkt der Veröffentlichung dieser Sicherheitsempfehlung gibt es noch keine Korrektur. Erfahren Sie, warum wir dies bekannt geben.

Betroffene Versionen und empfohlene Updates

Von den Sicherheitslücken betroffen sind folgende Jenkins-Plugins:

• Azure CLI Plugin bis einschließlich Version 0.9

• ByteGuard Build Actions Plugin bis einschließlich Version 1.0

• Curseforge Publisher Plugin bis einschließlich Version 1.0

• Eggplant Runner Plugin bis einschließlich Version 0.0.1.301.v963cffe8ddb_8

• Extensible Choice Parameter Plugin bis einschließlich Version 239.v5f5c278708cf

• JDepend Plugin bis einschließlich Version 1.3.1

• MCP Server Plugin bis einschließlich Version 0.84.v50ca_24ef83f2

• Nexus Task Runner Plugin bis einschließlich Version 0.9.2

• OpenShift Pipeline Plugin bis einschließlich Version 1.0.57

• Publish to Bitbucket Plugin bis einschließlich Version 0.4

• SAML Plugin bis einschließlich Version 4.583.vc68232f7018a_

• Start Windocks Containers Plugin bis einschließlich Version 1.4

• Themis Plugin bis einschließlich Version 1.4.1

Empfohlene Updates:

• MCP Server Plugin: Update auf Version 0.86.v7d3355e6a_a_18

• SAML Plugin: Update auf Version 4.583.585.v22ccc1139f55

Diese Versionen enthalten die notwendigen Sicherheitskorrekturen. Alle früheren Versionen gelten als verwundbar.

Keine Updates verfügbar:

Zum Zeitpunkt der Veröffentlichung liegen für die folgenden Plugins noch keine Fehlerbehebungen vor:

• Azure CLI Plugin

• ByteGuard Build Actions Plugin

• Curseforge Publisher Plugin

• Eggplant Runner Plugin

• Extensible Choice Parameter Plugin

• JDepend Plugin

• Nexus Task Runner Plugin

• OpenShift Pipeline Plugin

• Publish to Bitbucket Plugin

• Start Windocks Containers Plugin

• Themis Plugin

 

---