CI/CD boru hatlarının merkezinde yaygın olarak benimsenen açık kaynaklı otomasyon sunucusu Jenkins, yetkisiz gizli açıklama, siteler arası istek ambalajı (CSRF) ve açık yönlendirme saldırılarını sağlayan dört kritik güvenlik açıklığını açıkladı.
2.500 (haftalık) ve 2.492.2 (LTS) sürümlerinde yamalanan bu kusurlar, Jenkins 2.499 ve LTS 2.492.1 dahil önceki sürümleri etkiler. Potansiyel etkiler kimlik bilgisi hırsızlığından kimlik avı kampanyalarına kadar uzanmaktadır.
CVE-2025-27622 ve CVE-2025-27623 olmak üzere iki güvenlik açığı, aracıdaki ve görünüm konfigürasyonlarındaki şifreli sırların uygunsuz olarak redaksiyonundan kaynaklanmaktadır.
Aracı/genişletilmiş okuma veya görünüm/okuma izinleri olan saldırganlar, RESTACTED Sırlar içeren Config.xml dosyalarını almak için REST API veya CLI uç noktalarından yararlanabilir.
Bu, API anahtarları, veritabanı şifreleri ve şifreleme jetonları gibi kimlik bilgilerini ortaya çıkararak hassas verileri maskelemek için Jenkins’in güvenlik kontrollerini atlar.
Kök nedeni, config.xml isteklerini işlerken yetersiz erişim doğrulamasıdır. Jenkins, Aracı/Yapılandırma veya Görüntüle/Yapılandırma İzinlerini Olmayan Kullanıcılar için Sırları Düzenlerken, önceki sürümler API/CLI etkileşimleri sırasında bunu uygulayamadı.
Cloudbees mühendisleri, bu kusurları benzer pozlama vektörlerini içeren 2016 güvenlik açığı olan Security-266’ya bağladı.
SidePanel Widget’larda CSRF Güvenlik Açığı (CVE-2025-27624)
CVE-2025-27624, Jenkins’in SidePanel Widget durumlarını kullanması için bir CSRF riski getirir (örn. Yapı kuyruğu).
Saldırganlar, kötü niyetli bağlantılar hazırlayarak, kimliği doğrulanmış kullanıcıları CSRF korumaları olmayan GET istekleri yoluyla widget görünürlüğünü değiştirmeye zorlayabilir.
Bunu kullanan saldırganlar, mağdurların kullanıcı profillerine keyfi dizeler enjekte edebilir ve depolanan XSS veya veri açığa çıkması için kalıcılık mekanizmaları oluşturabilirler.
Güvenlik açığı kusurlu uç nokta tasarımının altını çiziyor – Jenkins tarihsel olarak izin verilen Widget durumu değişiklikleri için Get yöntemlerine izin vererek CSRF belirteç doğrulamasını ihmal ediyor. Yama, REST güvenliği en iyi uygulamalarıyla uyumlu olarak sonrası istekleri uygular.
Backsash manipülasyonu ile açık yönlendirme (CVE-2025-27625)
CVE-2025-27625, Jenkins’in LAX URL validasyonunu kötüye kullanarak açık yönlendirmeler sağlar. Saldırganlar backsashes (\) URL’lere ekleyebilir ve tarayıcıları şemaya uygun yollar olarak yorumlamaya kandırabilirler.
Bu, kullanıcıları Jenkins dahili bağlantılarının kisvesi altındaki kötü amaçlı alanlara yönlendirerek kimlik avını kolaylaştırır.
Kusur, daha önce backsash-preeftied yönlendirmelerine izin veren eksik güvenli URL kontrollerinden kaynaklandı. Patch sonrası, Jenkins 2.500/LTS 2.492.2 bu tür URL’leri reddederek kimlik avı risklerini hafifletir.
Cloudbees, Antoine Ruffino, Daniel Beck ve Xbow’a bu sorunları keşfettikleri için CI/CD ekosistem güvenliğinin korunmasında koordineli açıklamanın kritik rolünü yeniden teyit etti.
Azaltma ve iyileştirme
Yöneticiler derhal Jenkins 2.500 veya LTS 2.492.2’ye yükseltilmelidir. Gecikmeli yama gerektiren ortamlar için:
- Temsilciyi kısıtlayın/Genişletilmiş Okuma ve Görüntüle/Okuma İzinleri Temel Kullanıcılara.
- Backsashes içeren URL’leri engellemek için ters proxy kurallarını uygulayın.
- Anormal girişler için CSRF filtrelerini etkinleştirin ve kullanıcı profillerini denetleyin.
Bu güvenlik açıkları, geniş API yüzeylerine sahip otomasyon araçlarının güvence altına alınmasının çok yıllık zorluğunu toplu olarak vurgulamaktadır.
Jenkins, tedarik zinciri saldırıları için yüksek değerli bir hedef olmaya devam ettikçe, proaktif yama yönetimi ve en az pratik erişim kontrolleri zorunludur.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free