Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Jenkins Apica Loadtest Plugin (CVE-2025-53664)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-256 Almacenamiento de un contraseña en texto claro
Fecha de publicación:
09/07/2025
Última modificación:
18/07/2025

Descripción

Jenkins Apica Loadtest Plugin 1.10 y versiones anteriores almacenan tokens de autenticación LTP de Apica Loadtest sin cifrar en archivos job config.xml en el controlador de Jenkins, donde los usuarios con permiso de lectura extendida/de elemento o acceso al sistema de archivos del controlador de Jenkins pueden verlos.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jenkins:apica_loadtest:*:*:*:*:*:jenkins:*:* 1.10 (incluyendo)


Referencias a soluciones, herramientas e información