一、 漏洞 CVE-2025-68703 基础信息
漏洞信息
# Jervis PBKDF2 密码盐漏洞
## 概述
Jervis 是一个用于 Job DSL 插件脚本和共享 Jenkins 管道库的库。在版本 2.2 之前,加密操作中使用的盐值由 `sha256Sum(passphrase)` 生成,导致相同密码生成相同的密钥。
## 影响版本
2.2 之前的所有版本。
## 细节
盐值通过 `sha256Sum(passphrase)` 生成,未使用随机盐。相同密码在多次加密操作中产生相同的派生密钥,削弱了加密安全性。
## 影响
攻击者可利用重复的密钥模式增加解密敏感数据的可能性,导致潜在的信息泄露风险。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Jervis has a Salt for PBKDF2 derived from password
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Jervis is a library for Job DSL plugin scripts and shared Jenkins pipeline libraries. Prior to 2.2, the salt is derived from sha256Sum(passphrase). Two encryption operations with the same password will have the same derived key. This vulnerability is fixed in 2.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不充分的加密强度
来源:美国国家漏洞数据库 NVD
漏洞标题
Jervis 加密问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Jervis是Sam Gleske个人开发者的一个自动化工具。 Jervis 2.2之前版本存在加密问题漏洞,该漏洞源于从口令的SHA-256和派生盐值,导致相同口令产生相同密钥。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
加密问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-68703 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-68703 的情报信息
标题: Salt for PBKDF2 derived from password · Advisory · samrocketman/jervis · GitHub -- 🔗来源链接
标签:x_refsource_CONFIRM
神龙速读:## 关键信息 ### 漏洞详情 - **CVE ID**: CVE-2025-68703 - **严重性**: High ### 影响 - **描述**: 盐值由 `sha256Sum` 生成,基于同一密码的两次加密操作会生成相同的密钥。 - **影响**: 预计算攻击 ### 漏洞版本 - **受影响版本**: < 2.2 - **已修复版本**: 2.2 ### 修复措施 - Jervis 为每个密码生成一个随机盐,并将其与密文一起存储。 - **升级到**: Jervis 2.2 ### 参考资料 - [NIST SP 800-132: 基于密码的密钥派生](链接)
标题: Merge branch 'advisory-fix-1' · samrocketman/jervis@c3981ff · GitHub -- 🔗来源链接
标签:x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2025-68703
四、漏洞 CVE-2025-68703 的评论
暂无评论