Jenkins の複数プラグインの脆弱性が FIX:WSO2 Oauth の CVE-2025-47889 は No Patch

Jenkins Plugin Flaws Expose Critical Risks: CVE-2025-47889 Hits 9.8 CVSS with Auth Bypass

2025/05/16 SecurityOnline — 人気のオープンソース自動化サーバ Jenkins は、多くの開発チームや運用チームにとって不可欠なツールである。最近のセキュリティ・アドバイザリで指摘されたのは、各種の Jenkins プラグインに存在する複数の深刻な脆弱性であり、それらが悪用されると重大なリスクが生じるという。

CVE-2025-47884
OpenID Connect Provider プラグインを介した Build Token の偽装 (CVSS:9.1)

新たに公開された脆弱性の中で最も深刻なものは、OpenID Connect Provider プラグインに影響を及ぼす CVE-2025-47884 である。Jenkins のセキュリティ研究者たちが明らかにしたのは、このプラグインの Build ID Token 生成が、上書き可能な環境変数に依存していることである。これは重大な見落としである。

アドバイザリには、「Build ID Token のデフォルトの claim template は、sub (Subject) claim に JOB_URL 環境変数を使用している」と記載されている。

Environment Injector Plugin などのプラグインがインストールされているケースにおいて、ジョブ設定権限を持つ攻撃者が、信頼されたジョブを偽装するトークンを作成し、外部サービスへの不正アクセスを取得する可能性が生じる。

CVE-2025-47885
Health Advisor by CloudBees プラグインにおける保存型 XSS (CVSS:8.8)

Health Advisor by CloudBees プラグインに、蓄積型クロスサイト・スクリプティング (XSS) の脆弱性が発見された。

このレポートには、「Health Advisor by CloudBees プラグインのバージョン 374.v194b_d4f0c8c8 以下は、Jenkins Health Advisor サーバからのレスポンスを回避できない」と記されている。

Health Advisor サーバからのレスポンスを制御できる攻撃者は、悪意の JavaScript を挿入できる。この JavaScript は永続的に保存され、将来においてユーザーが、Jenkins にアクセスするときのコンテキストで実行される。

CVE-2025-47889
WSO2 Oauth プラグインにおける認証バイパス (CVSS:9.8)

さらに懸念されるのは、WSO2 Oauth プラグインに影響を与える脆弱性 CVE-2025-47889 である。この脆弱性を悪用する未認証の攻撃者は、任意のユーザー名とパスワードでログインできるが、それらは、存在しないユーザー名とパスワードであっても構わない。

このアドバイザリには、「WSO2 Oauth security realm による検証なしに、認証要求が受け入れられてしまう」と記されている。

認証戦略 が “logged-in users” フル・アクセスを付与する設定では、この脆弱性を悪用する攻撃者が、その時点で管理者レベルへとエスカレーションされる可能性がある。現時点において、修正プログラムは提供されていない。

その他の注目すべき脆弱性

Cadence vManager プラグイン:CVE-2025-47886/CVE-2025-47887:権限チェックを実行できず、POST リクエストを必要としないため、CSRF 攻撃や権限昇格を引き起こす可能性がある。

DingTalk プラグイン:CVE-2025-47888:SSL/TLS 証明書の検証が完全に無効化されているため、MITM 攻撃の危険に直面する。現時点で、パッチはリリースされていない。

緩和策とパッチの推奨事項

現時点において、以下のプラグインに対する修正プログラムが提供されている:

  • OpenID Connect Provider → 111.v29fd614b_3617 へ更新
  • Health Advisor by CloudBees → 374.376.v3a_41a_a_142efe に更新
  • Cadence vManager → 4.0.1-288.v8804b_ea_a_cb_7f に更新

WSO2 Oauth/DingTalk プラグインについては、公式パッチがリリースされるまで、速やかなアンインストールもしくは、使用の制限が強く推奨される。

今月の Jenkins のセキュリティ・アップデートでは、5つのプラグインの脆弱性が修正されました。なかでも、WSO2 Oauth Plugin の脆弱性 CVE-2025-47889 は、CVSS 値が 9.8 でありながら、現時点では未パッチとのことです。開発者の皆さんは、十分にご注意ください。よろしければ、Jenkins で検索も、ご参照ください。