Critical Jenkins Flaw Exposes Build Environments to XSS Attacks
2026/02/20 gbhackers — 2026年2月18日に報告されたのは、Jenkins のコア・ソフトウェアに存在する 2 件の脆弱性 CVE-2026-27099/CVE-2026-27100 に関する情報である。この脆弱性により、世界中の開発者がソフトウェアのビルド/テスト/デプロイに使用している Jenkins は、深刻なセキュリティ・リスクに直面している。最も深刻な問題は、蓄積型クロス・サイト・スクリプティング (XSS) の脆弱性である。この脆弱性 CVE-2026-27099 を悪用する攻撃者は、ビルド環境への悪意のスクリプトの挿入が可能となり、データ窃取やセッション乗っ取りを引き起こし得る。
これらの欠陥は、Continuous Integration and Continuous Delivery (CI/CD) パイプラインにおいて、Jenkins に依存している数千の組織に対して影響を及ぼす。低レベルの権限のみを持つ攻撃者であっても、この脆弱性の悪用が可能であるため、迅速なパッチ適用が不可欠となる。主な脅威は、Jenkins がノードのオフライン原因を処理する方法に起因する。管理者がエージェント・ノードを一時的にオフラインとしてマークする際に入力する説明文を、Jenkins が HTML として扱う設計となっている。
脆弱なバージョンでは、この入力が適切にエスケープされていないため、蓄積型 XSS が成立する。Agent/Configure または Agent/Disconnect 権限を持つ攻撃者であれば、悪意の説明文を作成し、管理者などがノード状態を確認する際に JavaScript を実行させることが可能になる。これにより、データ窃取/セッション乗っ取りに加えて、共有ビルド・ファームにおけるパイプライン侵害などの深刻な影響が生じ得る。
副次的な問題として、Run Parameters を介した、ビルド情報漏洩の脆弱性 CVE-2026-27100 も確認されている。Item/Build および Item/Configure 権限を持つユーザーであれば、本来はアクセス権を持たないビルドを参照するための、パラメータの送信が可能になっている。これらのパラメータを受け入れた Jenkins は、ジョブの存在/ビルドの詳細/表示名を開示する。これらの情報は、標的型攻撃における偵察に有用である。
ユーザーにとって必要なことは、速やかなアップデートにより、脆弱性の悪用を防止することだ。Jenkins の最新バージョンでは、Content Security Policy (CSP) により XSS の欠陥が軽減されている。それに加えて Jenkins が推奨するのは、管理者以外のユーザー権限設定において、Agent/Configure などの不要な権限を無効化することだ。
Jenkins 脆弱性の内訳
| CVE ID | CVSS Score | Description |
|---|---|---|
| CVE-2026-27099 | High (AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H) | Stored XSS in node offline causes a description; unescaped user input renders as HTML, which is exploitable by permitted users. |
| CVE-2026-27100 | Medium (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N) | Run Parameter accepts invalid build references, leaking job/build existence and names to unauthorized users. |
影響を受けるバージョンおよび修正
| Type | Affected Versions | Fixed Versions |
|---|---|---|
| Weekly | Up to 2.550 | 2.551 |
| LTS | Up to 2.541.1 | 2.541.2 |
セキュリティ・チームは、CI/CD 環境をスキャンし、公開ノードの有無を確認し、最近のオフライン・ログをレビューすべきである。これらの問題は、自動化ツールに内在するリスクを浮き彫りにするものだ。信頼されたプラットフォームであっても、権限の悪用に対する警戒が必要である。
クラウド環境またはオンプレミス環境で Jenkins を使用している組織は、XSS に起因する攻撃チェーンから機密ビルド成果物を保護するため、パッチ適用を優先すべきである。現時点でアクティブな悪用は公表されていないが、CVSS スコアが高いことから、開発チームは現実的な脅威として捉えるべきである。
CI/CD パイプラインの心臓部である Jenkins において、管理者権限の奪取や内部情報の偵察につながる 2 件の脆弱性が修正されました。最も危険なのは、エージェント・ノードのオフライン原因を処理する際にトリガーされる脆弱性 CVE-2026-27099 です。Jenkins には、ノードを切り離す際に管理者が理由をメモする機能がありますが、この入力内容が適切に無害化されず、そのまま HTML として実行されてしまう設計になっていました。
もう 1 つの脆弱性 CVE-2026-27100 は、本来は見ることができないはずの “ビルドの存在や名称” を、パラメータを通じて外部から推測/特定できてしまうという情報漏洩の問題です。これらの不備は、ソフトウェア開発の自動化プロセスそのものを攻撃の拠点に変えてしまうリスクを秘めています。ご利用のチームは、ご注意ください。よろしければ、Jenkins での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.