CSRF and Open Redirect: Jenkins Patches Major Vulnerabilities
2025/03/06 SecurityOnline — 人気の OSS 自動化サーバ Jenkins が発行したのは、複数の脆弱性に対処するセキュリティ・アドバイザリであり、その対象としては、暗号化されたシークレットの露出やクロスサイト・リクエスト・フォージェリ (CSRF) の欠陥などがある。この、2025年3月5日にリリースされたアドバイザリは、Jenkins のバージョン 2.499 以前以下/LTS 2.492.1 以下に影響を及ぼす、3つの脆弱性について詳述している。
最も懸念される脆弱性の1つである CVE-2025-27622 を悪用する、”Agent/Extended Read” 権限を持つ攻撃者は、シークレットの暗号化された値を表示できる。この脆弱性は、REST API/CLI 経由でエージェント・コンフィグにアクセスする際に、Jenkins が暗号化されたシークレットを編集できないことに起因する。
同様の脆弱性 CVE-2025-27623 は View コンフィグに影響を及ぼすものであり、”View/Read” 権限を持つ攻撃者に対して、暗号化されたシークレット値の表示を許してしまう。
さらに、Jenkins のバージョン 2.500 未満/LTS 2.492.2 未満には、CSRF の脆弱性 CVE-2025-27624 が存在する。この欠陥を悪用する攻撃者は、サイドパネル・ウィジェットの collapsed/expanded 状態をユーザーに切り替えさせ、被害者のユーザー・プロファイルに攻撃者が制御するコンテンツを保存させる可能性を手にする。
すでに Jenkins は、バージョン 2.500/LTS 2.492.2 をリリースし、これらの脆弱性に対処している。ユーザーに対して強く推奨されるのは、Jenkins インスタンスを最新バージョンへと更新し、これらのセキュリティ・リスクを軽減することだ。
このアドバイザリには、攻撃者にフィッシング攻撃を許す可能性のある、オープン・リダイレクト脆弱性 CVE-2025-27625 の詳細も含まれている。
Jenkins のユーザー/管理者に推奨されるのは、セキュリティ・アドバイザリ全体を確認し、システムを保護するために必要な措置を講じることだ。
Jenkins の4件の脆弱性が FIX しました。ご利用のチームは、アップデートをご検討下さい。Jenkins に関連する直近の脆弱性は、2024/11/27 の「Jenkins の複数の脆弱性が FIX:プラグインとの組み合わせて被害が拡大する恐れ」です。よろしければ、Jenkins で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.