Jenkins-Plugins mit Sicherheitsproblemen: dringend updaten!
Admins und Softwareentwickler sollten höchste Priorität auf den aktuellen Stand aller relevanten Jenkins-Plugins legen, insbesondere angesichts eines kürzlich gewordenen Sicherheitsupdate-Zyklus. Dieser umfasst wichtige Aktualisierungen für Plugins wie AsakusaSatellite, Cadence vManager, monitor-remote-job, Simple Queue, Stack Hammer und Templating Engine. Bisher sind jedoch nicht alle Sicherheitspatches verfügbar, wobei einige kritische Schwachstellen im Jenkins Core selbst geschlossen wurden. Betroffene Plugins werden in detaillierten Warnmeldungen aufgeführt, die spezifische Informationen liefern. Besonders hervorzuheben ist eine hochgradig gefährliche Schwachstelle (CVE-2025-31722) innerhalb des Templating Engine Plugins. Falls Angreifer Zugriff auf Item/Configure-Berechtigungen besitzen, können sie den Sandboxschutz manipulieren und Schadcode im Kontext der Jenkins-Controller-JVM ausführen. Stack Hammer (CVE-2025-31726, mittelschwer) und vManager (CVE-2025-31724, mittelschwer) weisen ebenfalls Sicherheitslücken auf, da sie API-Schlüssel unverschlüsselt speichern. Zudem besteht die Möglichkeit, auf unverschlüsselte Passwörter zugreifen zu können – ein Risiko, das auch das monitor-remote-job Plugin (CVE-2025-31725, mittelschwer) betrifft. Positiv ist, dass bereits Sicherheitsupdates für Jenkins weekly 2.504, Jenkins LTS 2.492.3 sowie die Plugins Cadence vManager (Version 4.0.1-286.v9e25a_740b_a_48), Simple Queue (Version 1.4.7) und Templating Engine (Version 2.5.4) veröffentlicht wurden. Die Aktualisierungen für AsakusaSatellite, monitor-remote-job und Stack Hammer stehen jedoch noch aus, und es gibt keine definitive Information über ihren Veröffentlichungszeitpunkt. Für Admins und Entwickler bedeutet dies eine dringende Handlungspflicht: Sofort verfügbare Patches anwenden!
Schlagwörter: Cadence vManager + Stack Hammer + Simple Queue
(pz)
