Jenkins Plugin Updates Fix Path Traversal and Stored XSS Bugs
2026/04/30 gbhackers — Jenkins プロジェクトが公開したのは、複数のプラグインに存在する 7 件の脆弱性に対処する重大なセキュリティ・アドバイザリである。それらの脆弱性には、深刻なパス・トラバーサルおよび蓄積型クロスサイト・スクリプティング (XSS) が含まれており、攻撃者により悪用されると、任意のコード実行やユーザー・セッションの乗っ取りに至る恐れがある。
いずれの脆弱性も、European Commission が後援する Jenkins Bug Bounty Program を通じて責任ある開示が行われたものである。システム管理者に強く推奨されるのは、環境を直ちに更新して、CI/CD パイプラインにおける悪用を未然に防ぐことである。
今回のアップデートにおいて、最も深刻なパス・トラバーサルの脆弱性 CVE-2026-42520 (High) は、Credentials Binding Plugin のバージョン 719.v80e905ef14eb_ 以下に影響を及ぼす。この脆弱性は、認証情報ファイル (ZIP も含む) の名前に対して、適切なサニタイズが実施されないことに起因する。
したがって、この不備を突く攻撃者は、ジョブに対して認証情報を提供する際に、ノードのファイル・システム上の任意の場所にファイルの書き込みが可能となる。
その結果、Jenkins 環境のビルトイン・ノード上で実行されるジョブの認証情報ファイルの設定が、低権限ユーザーに対して許可されている場合に問題が生じる。最悪のケースでは、このパス・トラバーサルがリモート・コード実行 (RCE) へと容易にエスカレートする恐れがある。
この脆弱性は、バージョン 720.v3f6decef43ea_ で修正が完了し、ファイル名に対するサニタイズが強制されるようになった。
GitHub/HTML Publisher プラグインの保存型 XSS 欠陥
このアップデートでは、人気プラグインに影響する 2 件の深刻な蓄積型 XSS 脆弱性も修正されている。
- CVE-2026-42523:GitHub Plugin バージョン 1.46.0 以下では、GitHub hook trigger for GITScm polling 機能の JavaScript 検証中に、カレント・ジョブ URL の不適切な処理という問題が発生している。Overall/Read 権限を持つ非匿名の攻撃者が、この欠陥を悪用すると、悪意のスクリプト注入が可能になる。この問題はバージョン 1.46.0.1 で修正された。
- CVE-2026-42524:HTML Publisher Plugin バージョン 427 以下では、レガシー・ラッパー・ファイル内のジョブ名および URL が、安全にエスケープされていない。この欠陥を突く Item/Configure 権限を持つ攻撃者は、蓄積型 XSS 攻撃を実行できる。バージョン 427.1 では、新たに生成されたラッパーにおいて、この問題は修正されている。Content Security Policy (CSP) を厳格に適用する環境では、この脆弱性は本質的に軽減される。
中深刻度のセキュリティ問題
さらに、このアップデートでは、情報漏洩やフィッシング攻撃を助長する可能性のある 4 件の深刻度 Medium の脆弱性も対処されている。
- CVE-2026-42519:Script Security Plugin の HTTP エンドポイントにおける権限チェックの欠如により、Overall/Read 権限を持つ攻撃者が、保留中および承認済みのクラスパスを不正に列挙される恐れがある。
- CVE-2026-42521:Matrix Authorization Strategy Plugin の安全でないデシリアライズにより、Item/Configure 権限を持つ攻撃者が、引数のないコンストラクタ呼び出しにおいて、任意の型の生成が可能な状況にある。この脆弱性から、不正な情報漏洩へとつながる可能性がある。
- CVE-2026-42522:GitHub Branch Source Plugin の権限チェックの欠如により、攻撃者が指定する GitHub App 認証情報を用いて、不正な接続テストの実行が可能となる。
- CVE-2026-42525:Microsoft Entra ID Plugin のオープン・リダイレクト脆弱性を悪用する攻撃者は、悪意の外部サイトへと認証直後のユーザーをリダイレクトし、フィッシング攻撃を仕掛けられる。
| Plugin Name | Vulnerability | Affected Versions | Patched Version |
|---|---|---|---|
| Credentials Binding | Path Traversal | ≤ 719.v80e905ef14eb_ | 720.v3f6decef43ea_ |
| GitHub | Stored XSS | ≤ 1.46.0 | 1.46.0.1 |
| HTML Publisher | Stored XSS | ≤ 427 | 427.1 |
| Script Security | Missing Permission Check | ≤ 1399.ve6a_66547f6e1 | 1402.v94c9ce464861 |
| Matrix Authorization Strategy | Unsafe Deserialization | ≤ 3.2.9 | 3.2.10 |
| GitHub Branch Source | Missing Permission Check | ≤ 1967.vdea_d580c1a_b_a_ | 1967.1969.v205fd594c821 |
| Microsoft Entra ID (Azure AD) | Open Redirect | ≤ 666.v6060de32f87d | 667.v4c5827a_e74a_0 |
管理者にとって必要なことは、影響を受ける全コンポーネントを修正済みバージョンへと速やかにアップデートし、CI/CD インフラを保護することだ。
ユーザー組織に対して推奨されるのは、影響が大きい Credentials Binding/GitHub/HTML Publisher プラグインのパッチ適用を優先することだ。Jenkins Update Center インターフェイスから直接アップデートを適用できる。
訳者後書:今回の脆弱性は、主に外部から入力されたデータの処理不備が原因で発生しています。特に深刻な CVE-2026-42520 では、ファイル名のサニタイズ (無害化) が不十分だったため、本来アクセスできない場所にファイルを書き込まれるリスクが生じています。また、CVE-2026-42523 や CVE-2026-42524 では、URL などの情報を画面に表示する際のエスケープ処理が不足しており、悪意のスクリプト実行を許してしまいます。その他にも、CVE-2026-42519 や CVE-2026-42522 のように、適切な権限チェックが行われていない設計上の不備も見つかりました。ご利用のチームは、ご注意ください。よろしければ、Jenkins での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.