BlazeMeter Jenkins 插件存在对可用资源的授权缺失问题 · CVE-2025-13472 · GitHub 安全公告数据库

漏洞详情

包管理器： Maven 受影响的包： com.blazemeter.plugins:BlazeMeterJenkinsPlugin

受影响版本： < 4.27 已修复版本： 4.27

漏洞描述

在 BlazeMeter Jenkins 插件 4.27 版本中实施了一项修复，旨在仅允许拥有特定权限的用户查看可用资源列表，例如凭据ID、bzm工作空间和bzm项目ID。在此修复之前，任何人都可以在Jenkins用户界面的下拉列表中看到此列表。

严重性等级

中等严重性 CVSS 总体评分：5.3 / 10

CVSS v4 基础指标

可利用性指标：

• 攻击向量： 网络
• 攻击复杂性： 低
• 攻击前提条件： 无
• 所需权限： 低
• 用户交互： 无

受影响系统影响指标：

• 机密性： 低
• 完整性： 无
• 可用性： 无

后续系统影响指标：

• 机密性： 无
• 完整性： 无
• 可用性： 无

CVSS向量： CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

EPSS 评分

0.035% (第10百分位数) 此评分预估了该漏洞在未来30天内被利用的概率。

弱点

CWE-862：缺失授权 软件在参与者尝试访问资源或执行操作时未执行授权检查。

参考信息

• https://nvd.nist.gov/vuln/detail/CVE-2025-13472
• https://portal.perforce.com/s/cve/a91Qi000002bFgTIAU/missing-authorization-in-blazemeter-jenkins-plugin
• jenkinsci/blazemeter-plugin@9fe5ed7

标识符

• CVE ID: CVE-2025-13472
• GHSA ID: GHSA-fxp5-37mh-vff5

源代码

jenkinsci/blazemeter-plugin

发布日期

• 国家漏洞数据库： 2025年12月3日
• GitHub 安全公告数据库： 2025年12月3日
• 已审核： 2025年12月3日
• 最后更新： 2025年12月3日