Alert!

Aktuelle Versionen von mehreren Jenkins-Plug-ins schließen diverse Sicherheitslücken.

Alarm-Symbol (Bild: JLStock/Shutterstock.com)

Anzeige

Unter bestimmten Bedingungen können Angreifer Softwareentwicklungsserver mit Jenkins-Plug-ins attackieren. Darunter fallen etwa die Plug-ins Azure Service Fabric und Zoom.

Anzeige

In einer Warnmeldung listen die Entwickler die verwundbaren Plug-ins auf. Die Lücken in Bitbucket Server Integration (CVE-2025-24398) und OpenId Connect Authentication (CVE—2025-24399) sind mit dem Bedrohungsgrad "hoch" eingestuft.

Nach erfolgreichen Attacken können Angreifer unter anderem über präparierte URLs den Schutz vor Cross-site-Request-Forgery-Attacken (CSFR) deaktivieren. Außerdem ist der Zugriff auf unverschlüsselte Tokens möglich. Die dagegen gerüsteten Plug-in-Versionen sind in der Warnmeldung aufgelistet.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Beitrag kommentieren Zur Startseite

Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Original Link
(Ursprünglich geschrieben von Dennis Schirrmacher)