概要
開発者向けの世界的に人気のあるオープンソース自動化サーバーであるJenkinsが、深刻なセキュリティリスクを抱えていることが明らかになりました。この脆弱性は、攻撃者が悪意のあるスクリプトをビルド環境に注入し、データ窃取やセッションハイジャックを行う可能性があります。
詳細
2026年2月18日、Jenkinsのコアソフトウェアで2つの脆弱性が特定されました。最も深刻な問題は、保存型クロスサイトスクリプティング(XSS)の脆弱性であり、攻撃者がビルド環境に悪意のあるスクリプトを注入できる可能性があります。
影響範囲
これらの脆弱性は、Jenkinsを使用して継続的インテグレーションとデリバリー(CI/CD)パイプラインを実行している数千の組織に影響を与えます。攻撃者は低レベルの権限でこれらの脆弱性を利用できるため、迅速なパッチ適用が不可欠です。
主な脅威
この問題は、Jenkinsがエージェントノードを一時的にオフラインにする際に入力される説明文の処理方法に起因しています。脆弱なバージョンでは、この入力が適切にエンコードされていないため、保存型XSSが発生します。
二次的な問題
また、ビルド情報漏洩の問題も存在します。ユーザーがアクセス権限を持っていないビルドを参照するパラメータを送信できる場合があります。これにより、ジョブの存在やビルド詳細などの情報を取得することが可能になります。
Jenkins脆弱性の概要
- CVE ID: CVE-2026-27099 – 高度なリスク(CVSSスコア:高)
エージェントノードをオフラインにする際に入力される説明文の保存型XSS。
- CVE ID: CVE-2026-27100 – 中程度のリスク(CVSSスコア:中)
ビルド情報漏洩。ユーザーがアクセス権限を持っていないビルドを参照するパラメータを送信できる。
対策と修正バージョン
- タイプ:週間アップデート
脆弱なバージョン:2.550まで
修正されたバージョン:2.551 - タイプ:LTS(長期サポート)
脆弱なバージョン:2.541.1まで
修正されたバージョン:2.541.2
対策の推奨事項
- Jenkins 2.539以上の場合は、コンテンツセキュリティポリシー(CSP)を有効にしてください。
- 非管理者には不要な権限(例:エージェントの設定や切断)を無効にします。
- CI/CDセットアップで公開されているノードをスキャンし、最近オフラインになったログを確認してください。
結論
これらの問題は、自動化ツールにおける権限の乱用に対する警戒心の重要性を示しています。Jenkinsを使用している組織は、クラウド環境やオンプレミス環境に関わらず、パッチ適用を最優先にすべきです。