Jenkinsは2026年4月29日に包括的なセキュリティアドバイザリを公開し、複数の広く使用されているプラグイン全体で7つの脆弱性をパッチしました。このうち3つは高リスク度と評価され、重大な攻撃ベクトルに対応しています。
本アドバイザリでパッチされた最も重大な欠陥は、Credentials Bindingプラグインバージョン719.v80e905ef14eb_以前における経路トラバーサル脆弱性であるCVE-2026-42520(CVSS: 高リスク度)です。
このプラグインはファイルおよびZIPファイル認証情報のファイル名をサニタイズしなかったため、ジョブに認証情報を提供できる攻撃者がノードファイルシステム上の任意の場所にファイルを書き込むことが可能になりました。
低権限ユーザーが組み込みノード上で実行されるジョブのファイルまたはZIPファイル認証情報を設定することが許可される環境では、この脆弱性は(CI/CD)パイプラインへのリモートコード実行に直接エスカレーションする可能性があります。
Jenkinsは厳密なファイル名サニタイズを実施することでこの問題に対処するバージョン720.v3f6decef43eaをリリースしました。
GitHub PluginおよびHTML Publisher Pluginで、それぞれ高リスク度と評価された2つの独立した格納型XSS脆弱性が特定されました。
CVE-2026-42523はGitHub Plugin 1.46.0以前に影響を及ぼし、「GitHub hook trigger for GITScm polling」機能に関連するJavaScriptの現在のジョブURLの不適切な処理により、Overall/Read権限のみを持つ認証済み攻撃者が格納型XSS攻撃を実行できます。
パッチが適用されたバージョン1.46.0.1は脆弱なURL処理ロジックを完全に削除します。
CVE-2026-42524はHTML Publisher Plugin 427以前に影響を及ぼし、レガシーラッパーファイルがジョブ名とURLをエスケープしなかったため、Item/Configure権限を持つ攻撃者が悪用可能な格納型XSSベクトルが作成されました。
バージョン427.1はエスケープ動作を修正しますが、注目すべきことに、この修正は新しく生成されたラッパーにのみ適用されます。Jenkins 2.539以上またはLTS 2.541.1以上を実行している組織は、Content Security Policyを実施することでもこの脆弱性を軽減できます。
7つの脆弱性すべては、YesWeHackプラットフォーム経由で欧州委員会がスポンサーするJenkins Bug Bounty Programを通じて責任を持って報告されました。
高リスク度評価と低権限の悪用要件を考慮すると、Credentials BindingおよびGitHub Pluginの更新を優先する必要があります。
翻訳元: https://cyberpress.org/jenkins-patches-high-severity-plugin-vulnerability/
