一、 漏洞 CVE-2025-68698 基础信息

                                        # Jervis RSA填充漏洞

## 概述
Jervis 是一个用于 Jenkins Job DSL 脚本和共享 Pipeline 库的库。在 2.2 版本之前，该库使用了存在安全风险的 PKCS1Encoding 加密方案。

## 影响版本
- 受影响版本：Jervis < 2.2  
- 修复版本：Jervis 2.2 及以上

## 细节
Jervis 在版本 2.2 之前使用 PKCS1Encoding 进行 RSA 加密，该方案易受 Bleichenbacher 填充预言攻击（Padding Oracle Attack）。此类攻击可被利用于解密加密信息，而无需获取私钥。现代安全实践推荐使用更安全的 OAEP（最优非对称加密填充）方案。

## 影响
攻击者可能利用该漏洞实施 Bleichenbacher 类型的 padding oracle 攻击，进而解密敏感数据，导致机密性丧失。
                                        

二、漏洞 CVE-2025-68698 的公开POC

三、漏洞 CVE-2025-68698 的情报信息

• 标题： RSA PKCS#1 v1.5 Padding Vulnerability · Advisory · samrocketman/jervis · GitHub -- 🔗来源链接

  标签：x_refsource_CONFIRM

  神龙速读：

                                          ## 关键信息
  
  - **CVE ID**: CVE-2025-68698
  - **Severity**: Critical
  - **Affected Versions**: < 2.2
  - **Patched Versions**: 2.2
  - **Package**: net.gleske:jervis (Maven)
  - **Vulnerability**: RSA PKCS#1 v1.5 Padding Vulnerability
    - 使用了`PKCS1Encoding`，该方法易受Bleichenbacher填充Oracle攻击。
    - 现代系统应使用OAEP（Optimal Asymmetric Encryption Padding）。
  - **Impact**:
    - 对于库的内部使用，严重性被认为较低，但如果消费者直接使用这些方法，则被视为关键问题。
    - 攻击者通过访问解密Oracle（例如，时间差异或错误消息），可以在不知道私钥的情况下解密密文。
  - **Patches**:
    - Jervis修补程序将从`PKCS1Encoding`迁移到`OAEPEnco`。
    - 升级到Jervis 2.2。
                                          

  

• 标题： Merge branch 'advisory-fix-1' · samrocketman/jervis@c3981ff · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  
• https://nvd.nist.gov/vuln/detail/CVE-2025-68698

四、漏洞 CVE-2025-68698 的评论