CVE-2025-67636Jenkins 2.540及更早版本,以及LTS 2.528.2及更早版本中存在一个权限检查缺失的安全漏洞。该漏洞允许具有View/Read权限的普通用户查看视图中存储的加密密码值。虽然密码以加密形式存储,但攻击者可以利用此漏洞获取加密后的密码数据,进而可能通过离线暴力破解或其他密码分析技术尝试恢复明文密码。此漏洞属于访问控制类安全问题,源于Jenkins对视图层权限验证的不完整实现。攻击者只需拥有基本的项目查看权限即可触发此漏洞,无需特殊管理权限或用户交互。这使得攻击门槛相对较低,在多用户Jenkins环境中具有较高的实际威胁价值。
该漏洞的根本原因在于Jenkins视图层缺少必要的权限检查逻辑。在Jenkins的MVC架构中,视图组件(如Jelly或Groovy模板)直接访问用户对象和凭证存储中的加密密码字段,而没有验证当前用户是否具有查看这些敏感信息的权限。攻击者可以通过以下方式利用:1)使用具有View/Read权限的账户登录Jenkins;2)导航到包含密码字段的视图页面(如系统配置、节点配置或凭据管理页面);3)通过页面源码或API响应获取加密的密码值。加密算法通常使用Jenkins内置的加密机制,但攻击者可针对弱加密或已知种子进行暴力破解。修复方案需要在视图层添加权限验证,确保只有具有适当权限(如Administer权限)的用户才能访问敏感凭据。