Jenkinsプロジェクトは、コアオートメーションサーバとLoadNinjaプラグインの複数の脆弱性に対処する重大なセキュリティアドバイザリを発表しました。これにより、CI/CD環境は任意のファイル作成、認証情報漏洩、およびリモートコード実行(RCE)を含む高い影響を持つ攻撃にさらされています。
エンタープライズビルドパイプラインにおけるJenkinsの中心的な役割とその昇格された権限での頻繁なデプロイを考慮すると、成功した悪用により、攻撃者は内部システム全体を横展開し、ビルドを改ざんするか、本番ワークフロー全体を完全に侵害する可能性があります。
セキュリティチームは、即座のリスク軽減のためにパッチ適用を優先することを強く勧告されています。
最も深刻な問題は、CVE-2026-33001として追跡されており、Jenkinsコア バージョン2.554およびLTS 2.541.2以前に影響を与えます。
この脆弱性は、.tarおよび.tar.gzアーカイブの抽出時にシンボリックリンクが不適切に処理されることに起因します。
シンボリックリンクを含む悪意のあるアーカイブを作成することで、攻撃者は意図されたディレクトリの境界をバイパスし、Jenkinsコントローラ上の任意の場所にファイルを書き込むことができます。
唯一の制約は、Jenkinsサービスアカウントに割り当てられた基盤となるオペレーティングシステムのファイル権限です。
実際の攻撃シナリオでは、ジョブを設定する権限を持つユーザーまたはエージェントの動作に影響を与えることができるユーザーは、「アーティファクトをアーカイブする」ポストビルドアクションを悪用できます。
これにより、JENKINS_HOME/init.groovy.d/またはJENKINS_HOME/plugins/などの機密ディレクトリに悪意のあるファイルを書き込むことができます。
配置されると、これらのファイルは攻撃者が制御するGroovyスクリプトの実行をトリガーするか、悪意のあるプラグインをロードでき、Jenkinsが再起動するか、注入されたコンポーネントが処理されると、完全なリモートコード実行につながります。
2番目の高深刻度脆弱性であるCVE-2026-33002は、JenkinsのWebSocketベースのCLIエンドポイントに影響を与え、オリジン検証保護をバイパスするDNS再バインディング攻撃を含みます。
この欠陥は、Jenkinsがオリジン検証にHost またはX-Forwarded-Hostの HTTP ヘッダーに依存しているために存在します。
Jenkinsの重大な脆弱性がCI/CDサーバ上でのリモートコード実行を可能にする(どちらも操作できます)。
攻撃者は、DNS再バインディングを実行する悪意のあるウェブサイトにユーザーを誘い込むことでこの弱点を悪用でき、Jenkinsコントローラの内部IPアドレスに解決されます。
このテクニックにより、信頼されていないオリジンからの未認可WebSocket接続が可能になります。JenkinsがHTTP経由で公開されており、匿名ユーザーが昇格された権限を保持する環境では、攻撃者は管理者CLIコマンドを実行できます。
Jenkins CLIはGroovy実行(groovyおよびgroovyshコマンドを介して)をサポートしているため、このアクセスは急速に完全なリモートコード実行にエスカレートし、事実上、サーバに対する完全な制御を付与できます。
このアドバイザリは、LoadNinjaプラグインの2つの中程度の深刻度脆弱性も強調しており、CVE-2026-33003およびCVE-2026-33004として追跡されています。
バージョン2.1以前は、APIキーをコントローラ上のジョブconfig.xmlファイル内のプレーンテキストに格納します。
さらに、プラグインはJenkins UIでこれらの認証情報をマスクできず、拡張読み取り権限を持つユーザーに公開されます。
これにより、認証情報収集への直接的なパスが作成され、外部テストプラットフォームへのアクセスまたはエンタープライズ環境への進展にさらに活用される可能性があります。
LoadNinjaを使用する環境では、プラグインバージョン2.2へのアップグレードにより、APIキーが暗号化され、適切にマスクされることが保証されます。
即座のパッチが実行不可能な場合、組織は防御的な対策を講じるべきです:
これらの脆弱性は、CI/CDインフラがいかに高い価値のターゲットであるか、そしてわずかな設定ミスまたは検証上の欠陥でさえ、完全なシステム侵害にエスカレートできることを強調しています。