Jenkins Gatling Plugin Vulnerability Let Attackers Bypass Content-Security-Policy Protection
2025/06/09 CyberSecurityNews — 人気の Jenkins Gatling プラグインにおいて、深刻な XSS (cross-site scripting) 脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、CSP (Content-Security-Policy) 保護の回避を可能にする。この脆弱性 CVE-2025-5806 は、Gatling Plugin バージョン 136.vb_9009b_3d33a_e に影響を及ぼし、このパフォーマンス・テスト統合ツールを使用する Jenkins 環境に対して重大なリスクをもたらす。
この問題の原因は、Gatling Plugin バージョン 136.vb_9009b_3d33a_e が、Jenkins 環境内で Gatling パフォーマンス・テスト・レポートを提供する際の実装方法にある。つまり、Jenkins バージョン 1.641/1.625.3 に対して、XSS 攻撃への対策として導入された CSP制限を、このプラグインが適切に実装していないことが判明したことになる。
Jenkins Gatling プラグインの脆弱性
CSP (Content-Security-Policy) とは Web セキュリティ標準のひとつであり、Web ページでロード/実行できるリソースを制御することで、XSS 攻撃に対抗する重要な防御策である。
CSP が適切に実装されると、悪意のコンテンツがアプリケーションに注入された場合であっても、不正なスクリプトの実行を制限する防御壁が機能する。
しかし、Jenkins Gatling プラグインの現行バージョンでは、パフォーマンス・テスト・レポートのレンダリング時に、これらの保護機能が完全にバイパスされることが判明した。
プラグインのレポート提供メカニズムに起因する、この脆弱性を悪用する Gatling レポート内のユーザーは、コンテンツの制御を通じて、悪意の JavaScript コードの注入/実行を達成する。
この問題は、プラグインがレポート・コンテンツを処理/表示する際に、通常であればスクリプト実行を防ぐはずの CSP ヘッダーが、適切に機能しないために発生する。この脆弱性は、Jenkins インフラ全体に与える潜在的な影響が大きいため、高い CVSS スコア 8.1 が付与されている。
この脆弱性の悪用に成功した攻撃者は、Jenkins アプリケーション上での任意の JavaScript コード実行を達成し、セッションの乗っ取り/認証情報の盗用/不正な管理操作などを引き起こす可能性を手にする。
この脆弱性を悪用する前提としては、Gatling レポート・コンテンツの編集権限が必要であり、一般的には開発者/QA エンジニア/Jenkins 上で権限を持つシステム管理者などが対象となる。攻撃が成功すると、コンフィグの改竄/機密性の高いビルド情報へのアクセス/デプロイ・パイプラインの変更/システム内での権限昇格などが生じるとされる。
Jenkins は多くの CI/CD 環境の中核を担っているため、このような侵害は、開発から本番環境へといたる、一連のワークフローに深刻な影響を与える恐れがある。
| Risk Factors | Details |
| Affected Products | Jenkins Gatling Plugin versions ≤ 136.vb_9009b_3d33a_e |
| Impact | – Arbitrary script execution- Session/cookie theft- CSP bypass- Privilege escalation risks |
| Exploit Prerequisites | 1. Attacker has access to modify the Gatling report content. 2. The victim views a malicious report. 3. Unpatched Jenkins CSP implementation |
| CVSS 3.1 Score | 8.1 (High) |
緩和策
Jenkins のセキュリティ・チームは、影響を受ける Gatling Plugin バージョン 136.vb_9009b_3d33a_e に対して、現時点で修正パッチが存在しないとしている。
アドバイザリにおいても、この脆弱性には、公開の時点で修正が提供されていないと明記されている。つまり、 Jenkins が、パッチ未提供の脆弱性を公開するという、異例の対応となっている。
Jenkins が推奨する主な緩和策は、この脆弱性の影響を受けない Gatling Plugin バージョン 1.3.0 へのダウングレードである。
ユーザー組織にとって必要なことは、ただちに自社の Jenkins 環境を確認し、問題のバージョンを使用しているインスタンスを特定し、ダウングレード計画の策定を行うことである。
さらに、セキュリティ・チームに推奨されるのは、Jenkins 上での不審な動作に対し て、特にレポートの生成/閲覧に対して、監視を強化することである。それに加えて、ネットワークのセグメンテーションやアクセス制御も見直し、Jenkins インスタンスへのアクセスを、信頼できるユーザーのみに制限することも有効だ。
迅速なダウングレードが困難な場合は、恒久的な修正が提供されるまでの間は、Gatling プラグインを一時的に無効にすることも検討してほしい。
Jenkins Gatling プラグインに発見された XSS の脆弱性は、CSP (Content-Security-Policy) の回避をもたらすものです。CI/CD のコアとも言える Jenkins において、未パッチの状態で脆弱性情報が公開されたことも気になります。ご利用のチームは、十分に ご注意ください。よろしければ、Jenkins で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.