Jenkins Patches Multiple Vulnerabilities that Allow Attackers to Cause a Denial of Service
2025/09/18 CyberSecurityNews — Jenkins が公開したのは、4 件のセキュリティ脆弱性を修正する重要なアップデートである。それらの脆弱性を悪用する未認証かつ低権限の攻撃者は、サービスの妨害や機密性の高いコンフィグ情報を窃取する可能性を手にする。Jenkins Weekly Releases のバージョン 2.527 以下および、Long-Term Support (LTS) ストリームのバージョン 2.516.2 以下を利用している管理者は、これらのリスクを軽減するためのアップグレードが必要となる。
HTTP/2 サービス拒否:CVE-2025-5115
Jenkins コアにバンドルされる Winstone-Jetty HTTP/2 実装には、深刻度の高い問題 (CVSS 3.1 A:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) が存在する。systemd サービス・コンフィグで Jenkins を起動した場合に、古い Jetty バージョンは “MadeYouReset” と呼ばれるサービス拒否攻撃に対して脆弱になる。
未認証の攻撃者が、未検証の HTTP/2 フレームをトリガーしてサーバ・リソースを枯渇させ、Jenkins をクラッシュさせる可能性がある。この脆弱性は HTTP/2 が有効化されている Jenkins 2.523 以下および、LTS 2.516.2 以下に影響する。なお、公式 Docker イメージやネイティブ・インストーラでは、デフォルトで HTTP/2 は無効化されている。
Jenkins 2.524 および LTS 2.516.3 では、Jetty が 12.0.25 に更新され、この問題は修正された。迅速なアップグレードが不可能な場合には、HTTP/2 の無効化が推奨される。
権限チェックの省略:CVE-2025-59474/CVE-2025-59475
深刻度が Medium レベルの2件の脆弱性により、内部コンポーネントの不正列挙が可能となる。Jenkins 2.527 以下 (LTS 2.516.2 以下) では、サイドパネルの Executors ウィジェットが Overview/Read 権限を適切に適用せず、未認証ユーザーであってもエージェント名の一覧参照が可能である (CVE-2025-59474)。
また、認証済みユーザーのプロファイル・ドロップダウンに存在するバグ (CVE-2025-59475) により、権限が限定的な攻撃者であっても、メニュー・エントリを確認することで、Credentials Plugin などのインストール状況を特定できる可能性がある。
これらの問題は、Jenkins 2.528 および LTS 2.516.3 で修正され、脆弱なサイドパネルは削除され、プロファイル・メニューには強制的な権限チェックが追加された。
ログメッセージ・インジェクション:CVE-2025-59476
Jenkins 2.527 以下 (LTS 2.516.2 以下) のコンソール・ログフォーマッターは、システムログ (jenkins.log など) への出力の前に、ユーザー制御コンテンツをサニタイズしない。
したがって、攻撃者はログに改行文字や Unicode の “Trojan Source” コード・ポイントを挿入し、誤解を招くログ行を偽造してインシデント対応を妨害できる。
Jenkins 2.528/LTS 2.516.3 では、挿入行に [CR]、[LF]、[CRLF] > などのインジケータが付与されるようになった。それにより、異常文字が強調表示されるため、信頼できる担当者のみがアクセスできる、ログビューアの利用が推奨される。
| CVE | Title | CVSS 3.1 Score | Severity |
| CVE-2025-5115 | HTTP/2 denial of service in bundled Jetty | 7.5 | High |
| CVE-2025-59474 | Missing permission check allows obtaining agent names | 5.3 | Medium |
| CVE-2025-59475 | Missing permission check in authenticated users’ profile menu | 4.6 | Medium |
| CVE-2025-59476 | Log message injection vulnerability | 4.4 | Medium |
緩和策
すべての Jenkins ユーザーにとって必要なことは、バージョンはWeekly Releases 2.528/LTS 2.516.3 へ向けた、速やかなアップグレードである。
これらのバージョンでは、深刻度の高い HTTP/2 DoS 脆弱性 CVE-2025-5115 および、権限チェックやログ・インジェクションの脆弱性 CVE-2025-59474/CVE-2025-59475/CVE-2025-59476 などが修正されている。
これらの問題を報告したのは、CloudBees, Inc の Daniel Beck と、Stackhopper Security の Manuel Fernandez、IBM Cloud Red Team の Robert Houtenbrink/Faris Mohammed/Harsh Yadav である。
繰り返しになるが、迅速なアップグレードが不可能な場合には、HTTP/2 の無効化と、ログファイル・アクセスの制限により、悪用を防ぐ必要がある。
Jenkins の一連の脆弱性は、原因が明確で分かりやすいものです。高深刻度の DoS 脆弱性は、バンドルされている Jetty (HTTP/2) 実装の不適切な処理によりリソース枯渇に至るものです。また、権限周りの問題は、UI コンポーネントで権限チェックが漏れている実装ミスや、ログ出力前のサニタイズ不足に起因するものです。ご利用のチームは、ご注意ください。よろしければ、Jenkins で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.