Yaygın olarak kullanılan açık kaynaklı otomasyon sunucusu Jenkins, 5 Mart 2025’te temel platformunu etkileyen dört orta yüzlük güvenlik açıklarını açıklayan yüksek öncelikli bir güvenlik danışmanlığı yayınladı.
CVE-2025-27622 olarak CVE-2025-27625-Etkili Sırlar Yönetimi, Siteler Arası Talep Apgenleri (CSRF) korumaları ve URL validasyonu olarak izlenen kusurlar.
Riskleri azaltmak için Jenkins 2.500 (haftalık) veya 2.492.2’ye (LTS) hemen yükseltmeler önerilir.
API/CLI erişimi yoluyla şifrelenmiş sırların maruz kalması
İki güvenlik açığı (CVE-2025-27622 ve CVE-2025-27623), ajan ve görünüm konfigürasyonlarındaki şifreli sırların uygunsuz olarak yeniden düzenlenmesinden kaynaklanmıştır.
Saldırganlar Ajan/Genişletilmiş Okuma veya Görüntüle/Oku İzinler, depolanan hassas verilere erişmek için işlem görmemiş sistemlerden yararlanabilir config.xml REST API veya CLI uç noktaları aracılığıyla dosyalar.
Jenkins 2.499 ve daha erken, LTS 2.492.1 ve daha önceki ile birlikte, şifreli değerleri maskelenemedi-2016 Güvenlik-266 düzeltmesinden bir regresyon.
Çözülen sürümler artık rol tabanlı erişim kontrollerini uygular ve yapılandırma izinleri olan kullanıcılar için şifreli gizli görünürlüğü kısıtlar.
CSRF ve açık yönlendirme güvenlik açıklarını açık
Bir CSRF kusuru (CVE-2025-27624), kötü amaçlı HTTP istekleri aracılığıyla yan panel widget’larının (örn. Yapı kuyruğu) yetkisiz bir şekilde değiştirilmesine izin verdi.
Saldırganlar, kullanıcı profillerine keyfi panel kimlikleri enjekte edebilir ve kalıcı kullanıcı arayüzü manipülasyonu sağlayabilir.
Eşzamanlı olarak, açık bir yönlendirme sorunu (CVE-2025-27625), arkalık tabanlı URL’leri yorumlayarak kimlik avı saldırılarına izin verdi (örn., \example.com) geçerli yönlendirmeler olarak.
Tarayıcılar bunları şemaya bağlı yollar olarak çözdü ve Jenkins’in URL Safelistini atladı.
Yamalar zorunlu Post istekleri SidePanel uç noktaları ve OWASP CSRF önleme yönergeleri ve RFC 3986 URI Normalizasyon Standartları ile hizalanan backsash-initial yönlendirmeleri reddetmek için.
İyileştirme ve yükseltme önerileri
Etkilenen sürümler arasında Jenkins Weekly ≤2.499 ve LTS ≤2.492.1 bulunmaktadır. Düzeltmeler – 2.500 (haftalık) ve 2.492.2 (LTS) —Troduce:
- REST/CLI arayüzleri için gelişmiş gizli redaksiyon
- Daha katı http yöntemi uygulama
- Regex Tabanlı Safelistleri kullanarak Yolu Doğrulama
Yöneticiler, özellikle roller için yükseltmelere öncelik vermeli ve kullanıcı izinlerine öncelik vermelidir. Okumak-sadece erişim.
Gecikmeli yamalar gerektiren ortamlar için, geçici hafifletmeler gereksiz izinlerin iptal edilmesini ve kötü niyetli yönlendirme modellerini engellemek için ters proxy kurallarının uygulanmasını içerir.
Jenkins, bu güncellemeleri üç aylık güvenlik sertleştirme döngüsünün bir parçası olarak vurguladı ve CI/CD boru hatlarında sürekli bağımlılık taramasının önemini vurguladı.
CVSS skorları ortalama 6.5 ile proaktif iyileştirme, DevOps iş akışlarında kimlik bilgisi eksfiltrasyonunu ve oturum kaçırmayı önlemek için kritik öneme sahiptir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free