Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Jenkins Statistics Gatherer Plugin (CVE-2025-53654)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-522 Credenciales insuficientemente protegidas
Fecha de publicación:
09/07/2025
Última modificación:
18/07/2025

Descripción

Jenkins Statistics Gatherer Plugin 2.0.3 y versiones anteriores almacenan la clave secreta de AWS sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde los usuarios con acceso al sistema de archivos del controlador de Jenkins pueden verla.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jenkins:statistics_gatherer:*:*:*:*:*:jenkins:*:* 2.0.3 (incluyendo)


Referencias a soluciones, herramientas e información