Jenkinsプロジェクトは、複数の広く使用されているプラグイン全体にわたる7つの脆弱性に対処する重大なセキュリティアドバイザリをリリースしました。
開示された脆弱性には、高深刻度のパストラバーサルおよび保存型クロスサイトスクリプティング(XSS)脆弱性が含まれており、脅威行為者が任意のコードを実行またはユーザーセッションをハイジャックできる可能性があります。
すべての脆弱性は、欧州委員会がスポンサーするJenkins Bug Bounty Programを通じて責任を持って開示されました。
システム管理者は、継続的インテグレーション・継続的デプロイメント(CI/CD)パイプラインでの悪用を防ぐため、環境を直ちに更新することが強く推奨されています。
このアドバイザリで対処される最も深刻な脆弱性は、CVE-2026-42520として追跡されている高深刻度のパストラバーサル脆弱性です。
この問題は、バージョン719.v80e905ef14eb_までのCredentials Binding Pluginに影響します。プラグインは以前、ファイルおよびzipファイル認証情報のファイル名をサニタイズできませんでした。
この見落としにより、ジョブに認証情報を提供できる攻撃者が、ノードのファイルシステム上の任意の場所にファイルを書き込むことができます。
Jenkinsの環境が、低権限ユーザーが組み込みノード上で実行されるジョブのファイル認証情報を設定することを許可するように構成されている場合、このパストラバーサルは容易にリモートコード実行(RCE)にエスカレートする可能性があります。
脆弱性は、適切なファイル名のサニタイズを強制することにより、バージョン720.v3f6decef43ea_で修正されています。
GitHubおよびHTML Publisherプラグインの保存型XSS脆弱性
アドバイザリはまた、人気のあるプラグインに影響を与える2つの高深刻度の保存型XSS脆弱性を強調しています。
- GitHub Plugin (CVE-2026-42523): バージョン1.46.0以前は、「GitHub hook trigger for GITScm polling」機能のJavaScript検証中に現在のジョブURLを不適切に処理します。Overall/Read権限を持つ非匿名の攻撃者がこの脆弱性を悪用して悪意のあるスクリプトをインジェクトできます。バージョン1.46.0.1で解決されています。
- HTML Publisher Plugin (CVE-2026-42524): バージョン427以前は、レガシーラッパーファイル内のジョブ名とURLを安全にエスケープできません。Item/Configure権限を持つ攻撃者がこれを悪用して保存型XSS攻撃を起動できます。バージョン427.1は、新しく生成されたラッパーのこの動作を修正しており、Content Security Policy(CSP)保護を厳密に強制する環境は、この脆弱性に対して本質的に軽減されています。
中深刻度のセキュリティ問題
さらに、更新は情報開示またはフィッシングキャンペーンを促進する可能性のある4つの中深刻度の脆弱性に対処しています:
- Script Security Plugin (CVE-2026-42519): HTTPエンドポイントの権限チェック漏れにより、Overall/Read権限を持つ攻撃者が保留中および承認済みのクラスパスを不適切に列挙できます。
- Matrix Authorization Strategy Plugin (CVE-2026-42521): 不安全なデシリアライゼーションバグにより、Item/Configure権限を持つ攻撃者がパラメータなしのコンストラクタを呼び出して任意の型をインスタンス化でき、潜在的に不正な情報開示につながる可能性があります。
- GitHub Branch Source Plugin (CVE-2026-42522): 権限チェック漏れにより、攻撃者が攻撃者が指定したGitHub Appの認証情報を使用して不正な接続テストを実行できます。
- Microsoft Entra ID Plugin (CVE-2026-42525): オープンリダイレクト脆弱性により、攻撃者は認証成功直後にユーザーを悪意のある外部サイトにリダイレクトすることでフィッシング攻撃を実施できます。
CI/CDインフラストラクチャを保護するため、管理者は影響を受けるすべてのコンポーネントを直ちに修正版に更新する必要があります。
| プラグイン名 | 脆弱性 | 影響を受けるバージョン | 修正版 |
|---|---|---|---|
| Credentials Binding | パストラバーサル | ≤ 719.v80e905ef14eb_ | 720.v3f6decef43ea_ |
| GitHub | 保存型XSS | ≤ 1.46.0 | 1.46.0.1 |
| HTML Publisher | 保存型XSS | ≤ 427 | 427.1 |
| Script Security | 権限チェック漏れ | ≤ 1399.ve6a_66547f6e1 | 1402.v94c9ce464861 |
| Matrix Authorization Strategy | 不安全なデシリアライゼーション | ≤ 3.2.9 | 3.2.10 |
| GitHub Branch Source | 権限チェック漏れ | ≤ 1967.vdea_d580c1a_b_a_ | 1967.1969.v205fd594c821 |
| Microsoft Entra ID(Azure AD) | オープンリダイレクト | ≤ 666.v6060de32f87d | 667.v4c5827a_e74a_0 |
組織は、高い深刻度スコアと厳重なシステム影響の可能性があるため、Credentials Binding、GitHub、およびHTML Publisherプラグインのパッチ適用を優先するよう推奨されています。更新はJenkins Update Centerインターフェースを通じて直接適用できます。
翻訳元: https://gbhackers.com/jenkins-plugin-updates-fix-path-traversal-and-stored-xss-bugs/
