【 資安警訊 】- Jenkins揭露眾多外掛程式漏洞，包括可繞過身分驗證的CVE-2025-47889

發布編號：OIS-CTI-2025-05-003

情資來源：iThome

事件類型：漏洞警訊公告

內容說明：

熱門的開源自動化伺服器Jenkins在上周的安全公告中揭露5個外掛程式的安全漏洞，其中，最嚴重的是WSO2 OAuth的身分驗證繞過漏洞CVE-2025-47889，它的CVSS風險評分高達9.8，另一個同屬重大（Critical）漏洞的是涉及OpenID Connect 的CVE-2025-47884，其CVSS風險評分為9.1。

圖片來源：iThome

WSO2 OAuth為Jenkins上的一個身分驗證外掛程式，可讓使用者透過OAuth 2.0協議登錄Jenkins。然而，CVE-2025-47889允許駭客使用任意帳號與密碼登入Jenkins，包括不存在的用戶名稱，若授權政策設定為「登入用戶擁有全部權限」，那麼駭客即可直接取得管理員控制權，等於接管Jenkins。

由於CVE-2025-47889尚未被修補，使用者應該直接停用它，改用其它的身份驗證方式。

至於OpenID Connect Provider亦為Jenkins上的身分驗證外掛程式，整合基於OpenID Connect（OIDC）的單點登錄功能，還能替每個Jenkins任務生成ID Token，供外部服務驗證身分。而當該外掛程式使用環境變數來組裝ID Token時，並未檢查這些變數是否被惡意竄改過，而形成CVE-2025-47884漏洞，可能允許駭客冒充他人身分，或是污染供應鏈。

開發者已禁止使用被覆蓋的環境變數生成Token，修補了CVE-2025-47884。

其它漏洞還包括涉及Health Advisor by CloudBees的CVE-2025-47885，與Cadence vManager有關的CVE-2025-47886與CVE-2025-47887，以及DingTalk的CVE-2025-47888。

其中，Health Advisor by CloudBees是專門用來分析Jenkins實例性能與安全狀態的健康監測外掛程式，可上傳分析資料至CloudBees伺服器並取得建議，而CVE-2025-47885則允許駭客偽造伺服器回應，於Jenkins管理介面植入惡意程式，CVSS風險評分為8.8，被視為高風險漏洞。另外3個漏洞則被列為中度風險漏洞。

影響平台：

• Cadence vManager Plugin up to and including 4.0.1-286.v9e25a_740b_a_48

• DingTalk Plugin up to and including 2.7.3

• Health Advisor by CloudBees Plugin up to and including 374.v194b_d4f0c8c8

• OpenID Connect Provider Plugin up to and including 96.vee8ed882ec4d

• WSO2 Oauth Plugin up to and including 1.0

建議措施：

• Cadence vManager Plugin should be updated to version 4.0.1-288.v8804b_ea_a_cb_7f

• Health Advisor by CloudBees Plugin should be updated to version 374.376.v3a_41a_a_142efe

• OpenID Connect Provider Plugin should be updated to version 111.v29fd614b_3617

這些版本包含對上述漏洞的修復。除非另有說明，所有先前版本均被視為受到這些漏洞的影響。

截至發布此公告時，以下插件尚無修復程式：

• DingTalk Plugin

• WSO2 Oauth Plugin

參考連結 ：

https://www.ithome.com.tw/news/169006 

https://www.jenkins.io/security/advisory/2025-05-14/