Multiple Jenkins Plugin and Core Vulnerabilities Expose Sensitive Data and Execution Paths
2025/04/03 SecurityOnline — Jenkins プロジェクトが公表したのは、Jenkins コアとプラグインに影響を及ぼす、中程度から高程度の脆弱性に関する新しいセキュリティ・アドバイザリのリリースである。これらの問題は、権限チェックの欠如や CSRF 脆弱性から、API キーとパスワードのプレーンテキスト・ストレージにまでに至るものであり、DevOps パイプラインで Jenkins を使用している、何百万ものユーザーに対して影響を及ぼすものだ。
このアドバイザリで強調されるのは、エージェント・コンフィグに関連する、Jenkins コアにおける2つの中程度の脆弱性である。
CVE-2025-31720
権限チェックの欠如によるエージェント・コンフィグの窃取
Jenkins のバージョン 2.503 以下/LTS 2.492.2 以下においては、HTTP エンドポイントの権限チェックの欠如を悪用する、Computer/Create 権限を持つ攻撃者が、エージェントをコピーしてコンフィグアクセスできるという問題が存在する。この脆弱性は、Jenkins 2.504/LTS 2.492.3 で対処されており、エージェントのコピーにおいては、Computer/Extended Read 権限が必要になった。
CVE-2025-31721
権限チェックの欠落によるエージェント・コンフィグからのシークレット窃取
上記の脆弱性と同様に、Jenkins バージョン 2.503 以下/LTS 2.492.2 以下には、HTTP エンドポイントでの権限チェックの欠落を悪用する、Computer/Create 権限を持つ攻撃者がエージェントをコピーし、そのコンフィグ内の暗号化されたシークレットへの不正アクセスを達成するという問題が存在する。 この脆弱性は、Jenkins 2.504/LTS 2.492.3 で対処されており、エージェントのコピーにおいては、Computer/Extended Read 権限が必要になった。
このアドバイザリでは、いくつかの Jenkins プラグインの脆弱性についても、詳説されている:
Templating Engine Plugin:CVE-2025-31722:テンプレート・エンジン・プラグインのバージョン 2.5.3 以下には、フォルダ・スコープのライブラリがサンドボックス保護の対象にならないという、深刻度の高い脆弱性が存在する。この脆弱性を悪用する、Item/Configure 権限を持つ攻撃者は、Jenkins コントローラー JVM のコンテキストで任意のコード実行を達成する。このプラグインのバージョン 2.5.4 では、フォルダ・スコープのライブラリにサンドボックス保護を適用することで、上記の問題に対処している。
Simple Queue Plugin:CVE-2025-31723:シンプル・キュー・プラグインのバージョン 1.4.6 以下には、複数の HTTP エンドポイントに対する POST リクエストの不足を原因とする、クロスサイト・リクエスト・フォージェリ (CSRF) の脆弱性が存在する。この脆弱性の悪用に成功した攻撃者は、ビルド・キューの順序を変更/リセットできる。最新のバージョン 1.4.7 では、影響を受ける HTTP エンドポイントに対して POST リクエストを要求することで、この問題を解決している。ただし、管理者はグローバル・コンフィグを介して、CSRF 保護のない同等の HTTP エンドポイントの有効化が可能である。
Cadence vManager Plugin:CVE-2025-31724:Cadence vManager プラグインのバージョン 4.0.0-282.v5096a_c2db_275 以下には、暗号化されていない Verisium Manager VAPI キーが、Jenkins コントローラーのジョブ config.xml ファイルに保存されるという問題がある。この脆弱性を悪用する、Item/Extended Read 権限または Jenkins コントローラー・ファイル・システムへのアクセス権を持つユーザーによる、これらの API キーの開示が可能になる。最新の バージョン 4.0.1-286.v9e25a_740b_a_48 では、影響を受けるジョブ・コンフィグが再保存されるときに、Verisium Manager VAPI キーが暗号化されるようになった。
monitor-remote-job Plugin:CVE-2025-31725:monitor-remote-job プラグインのバージョン 1.0 に存在する静寂性により、Jenkins コントローラーの job config.xml ファイルに、暗号化されていないパスワードが保存されてしまう。その結果として、Item/Extended Read 権限または Jenkins コントローラー・ファイル・システムへのアクセス権を持つユーザーによる、パスワードの開示が可能になる。このアドバイザリが公開された時点では、CVE-2025-31725 に対する修正は提供されていない。
Stack Hammer Plugin:CVE-2025-31726:Stack Hammer プラグインのバージョン 1.0.6 以下には、暗号化されていない Stack Hammer API キーを、job config.xml ファイルに保存するという問題がある。その結果として、Item/Extended Read 権限または Jenkins コントローラー・ファイル・システムへのアクセス権を持つユーザーによる、API キーの開示が可能となる。現時点において、このプラグインに対する修正は提供されていない。
Asakusa Satellite Plugin:CVE-2025-31727/CVE-2025-31728:AsakusaSatellite プラグインのバージョン 0.1.1 以下には、暗号化されていない AsakusaSatellite API キーの、job config.xml ファイルへの保存という問題が存在する。その結果として、アイテム/拡張読み取り権限または Jenkins コントローラー・ファイル・システムへのアクセス権を持つユーザーによる、API キーの開示が可能となる。さらに、job config フォームにおいては、これらの API キーがマスクされないため、観察やキャプチャのリスクが高まる。現時点において、このプラグインに対する修正は提供されていない。
Jenkins 管理者にとって必要なことは、このアドバイザリを慎重に確認し、影響を受けるコンポーネントを特定し、推奨されるアップデートを速やかに適用することだ。修正が利用できないプラグインに対しては、潜在的なリスクを最小限に抑えるために、緩和策や代替ソリューションの実装を検討する必要がある。
CI/CD (continuous integration and delivery) に欠かせない存在である Jenkins Jenkins の Core/Plugin に、9件の脆弱性が発見されました。現時点では未修正の脆弱性もありますので、ご利用のチームは、Jenkins のアドバイザリをご確認ください。よろしければ、Jenkins で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.