CVE-2025-64147CVE-2025-64147是Jenkins Curseforge Publisher Plugin 1.0版本中的一个信息泄露漏洞。该漏洞允许低权限用户通过查看作业配置表单获取到明文形式的API密钥。攻击者可以利用此漏洞在用户不知情的情况下窃取API密钥,进而可能访问或操控与该API密钥关联的 Curseforge 服务资源。由于API密钥在配置页面中以明文形式展示,攻击者只需具备作业配置页面的访问权限即可获取这些敏感凭证。此漏洞的CVSS评分为4.3,属于中等严重程度,主要影响机密性。
Jenkins Curseforge Publisher Plugin在版本1.0中实现作业配置表单时,未对API密钥输入字段进行适当的遮蔽处理。正常情况下,涉及敏感信息的表单字段应使用密码类型输入框或对显示内容进行遮蔽(如使用*号替换),以防止 Shoulder Surfing 攻击和数据被恶意脚本读取。然而,该插件直接以明文形式展示API密钥,使得任何能够访问 Jenkins 作业配置页面的用户都可以直接看到这些敏感凭证。攻击者可以通过以下方式利用此漏洞:1) 拥有作业配置查看权限的用户可直接观察页面;2) 通过浏览器开发者工具检查页面元素获取明文值;3) 利用恶意脚本在用户访问页面时窃取表单数据。由于该插件未实现任何防止复制或读取的安全措施,攻击门槛较低。