Το έργο Jenkins εξέδωσε κρίσιμη ειδοποίηση ασφαλείας, στην οποία περιγράφονται ευπάθειες σε πέντε ευρέως χρησιμοποιούμενα πρόσθετα: Cadence vManager, DingTalk, Health Advisor από την CloudBees, OpenID Connect Provider και WSO2 Oauth.
Δείτε επίσης: Ευπάθεια SonicWall SMA1000 επιτρέπει απομακρυσμένη πρόσβαση
Αυτές οι ευπάθειες, που κυμαίνονται από μεσαίας έως κρίσιμης σοβαρότητας, θα μπορούσαν να επιτρέψουν σε επιτιθέμενους να παρακάμψουν τη διαδικασία ταυτοποίησης, να εκτελέσουν κακόβουλο κώδικα ή να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα συστήματα. Οι διαχειριστές Jenkins καλούνται να αναλάβουν άμεσα δράση ώστε να μειώσουν τους κινδύνους για τις υποδομές CI/CD.
Η ειδοποίηση δίνει έμφαση σε δύο κρίσιμες ευπάθειες με πολύ υψηλούς δείκτες CVSS:
- Πρόσθετο OpenID Connect Provider (CVE-2025-47884, CVSS: 9.1)
- Πρόσθετο WSO2 Oauth (CVE-2025-47889, CVSS: 9.8)
Αυτές οι ευπάθειες συνιστούν σοβαρούς κινδύνους για τα περιβάλλοντα Jenkins.
Δείτε ακόμα: Επιδιορθώθηκαν ευπάθειες σε Juniper, VMware και Zoom
Οι διαχειριστές καλούνται να ενημερώσουν άμεσα τα πρόσθετα στις διορθωμένες εκδόσεις. Για τα πρόσθετα DingTalk και WSO2 Oauth, το έργο Jenkins δεν έχει διαθέσει επιδιορθώσεις, επικαλούμενο την έλλειψη συντήρησης ή άλλους περιορισμούς. Οι χρήστες ενδέχεται να χρειαστεί να απενεργοποιήσουν αυτά τα πρόσθετα ή να εφαρμόσουν αντισταθμιστικά μέτρα, όπως ενίσχυση της ασφάλειας σε επίπεδο δικτύου ή περιορισμένη πρόσβαση.
Αυτές οι ευπάθειες αναδεικνύουν τους κινδύνους που προκύπτουν από μη συντηρούμενα ή εσφαλμένα ρυθμισμένα πρόσθετα στο Jenkins, το οποίο αποτελεί θεμελιώδες στοιχείο των DevOps pipelines.
Η ευπάθεια στο πρόσθετο WSO2 Oauth αναδεικνύει ιδιαίτερα τους κινδύνους από χαλαρές πρακτικές ταυτοποίησης σε κρίσιμα περιβάλλοντα ασφαλείας, ενώ το πρόβλημα με το OpenID Connect αποκαλύπτει τις παγίδες που μπορεί να προκαλέσει η παραβίαση μεταβλητών περιβάλλοντος σε πολύπλοκες ρυθμίσεις CI/CD.
Η ειδοποίηση συνδέεται επίσης με ευρύτερες ανησυχίες γύρω από την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού, με εργαλεία όπως το Jenkins να αποτελούν κύριους στόχους. Κακόβουλοι παράγοντες θα μπορούσαν να εκμεταλλευτούν αυτές τις ευπάθειες για να εισάγουν κακόβουλο κώδικα, να αποκτήσουν αυξημένα δικαιώματα ή να χειραγωγήσουν τις διαδικασίες δημιουργίας λογισμικού, με πιθανές συνέπειες για τα εξαρτώμενα συστήματα και εφαρμογές.
Δείτε επίσης: Η Ivanti προειδοποιεί για δύο ευπάθειες στο EPMM software
Ένα σχετικό και κρίσιμο σημείο που αξίζει να αναφερθεί είναι ότι η ασφάλεια των συστημάτων CI/CD, όπως το Jenkins, από ευπάθειες, δεν εξαρτάται μόνο από το ίδιο το εργαλείο, αλλά και από την υγεία του οικοσυστήματος των προσθέτων του. Πολλά από τα πρόσθετα αυτά αναπτύσσονται από την κοινότητα ή τρίτους παρόχους και όταν εγκαταλείπονται ή δεν συντηρούνται επαρκώς, μπορούν να μετατραπούν σε αδύναμους κρίκους.
Πηγή: cybersecuritynews
