Admins von Softwareentwicklungsumgebungen sollten die Jenkins-Plug-ins AsakusaSatellite, Cadence vManager, monitor-remote-job, Simple Queue, Stack Hammer und Templating Engine auf den aktuellen Stand bringen. Es sind aber bisher nicht alle Sicherheitspatches erschienen. Zusätzlich haben die Entwickler Schwachstellen im Jenkins Core geschlossen.
Weiterführende Informationen zu den betroffenen Plug-ins sind in einer Warnmeldung aufgelistet.
Die Gefahren
Am gefährlichsten gilt eine Lücke (CVE-2025-31722 "hoch") in Templating Engine. Verfügen Angreifer über Item/Configure-Berechtigungen, können sie den Sandboxschutz umgehen und im Kontext des Jenkins Controllers JVM Schadcode ausführen.
Stack Hammer (CVE-2025-31726 "mittel") und vManager (CVE-2025-31724 "mittel") speichern API-Schlüssel im Klartext. Außerdem können Angreifer auf unverschlüsselte Passwörter zugreifen (monitor-remote-job, CVE-2025-31725 "mittel").
Diese Sicherheitspatches sind bereits verfügbar:
- Jenkins weekly 2.504
- Jenkins LTS 2.492.3
- Cadence vManager Plugin 4.0.1-286.v9e25a_740b_a_48
- Simple Queue Plugin 1.4.7
- Templating Engine Plugin 2.5.4
Die Updates für AsakusaSatellite, monitor-remote-job und Stack Hammer sind bisher nicht erhältlich. Wann sie folgen, ist bislang unklar.
(des)
English (US) ·