Jenkins projesi, 28 Ekim 2025’te Güvenlik Tavsiyesi 2025-10-29’u yayımladı ve popüler açık kaynaklı otomasyon sunucusuna güç veren 13 eklentideki birden fazla güvenlik açığını ortaya çıkardı.
Bu kusurlar, yüksek önem dereceli kimlik doğrulama atlamalarından yanlış izin yapılandırmalarına ve kimlik bilgilerinin açığa çıkmasına kadar uzanır ve potansiyel olarak kurumsal CI/CD işlem hatlarını yetkisiz erişime ve kod yürütmeye maruz bırakır.
SAML ve MCP Sunucusu eklentilerinde iki kritik sorun için düzeltmeler mevcut olsa da diğerlerinin çoğu çözülmeden kalıyor ve bu da mümkün olan yerlerde anında güncelleme yapılmasını ve dikkatli bir şekilde izlenmesini gerektiriyor.
Öneri, SAML Eklentisindeki (SECURITY-3613, CVE-2025-64131) CVSS puanı 7,5 ile yüksek önem derecesine sahip bir yeniden oynatma güvenlik açığını vurguluyor.
4.583.vc68232f7018a_ sürümüne kadar olan sürümlerde yeniden yürütme önbelleği bulunmadığından, ağ koklama veya ortadaki adam saldırıları gibi SAML kimlik doğrulama akışlarına müdahale eden saldırganların istekleri yeniden yürütmesine ve kullanıcıların kimliğine bürünmesine olanak tanır.
Bu, özellikle tek oturum açmanın kullanıldığı birleşik ortamlarda, hassas yapıları işleyen Jenkins örneklerine tam erişim sağlayabilir.
4.583.585.v22ccc1139f55 sürümündeki düzeltme, yöneticilerin öncelik vermesi gereken basit bir azaltma yöntemi olan kopyaları engellemek için bir tekrar oynatma önbelleği sunuyor.
Bunu tamamlayan MCP Sunucu Eklentisi, 0.84.v50ca_24ef83f2’ye kadar olan sürümleri etkileyen orta önemde bir sorun (CVSS 5.4) olan eksik izin kontrollerinden (SECURITY-3622, CVE-2025-64132) muzdariptir.
Temel Öğe/Okuma erişimine sahip saldırganlar, getJobScm, tetikleyiciBuild ve getStatus gibi araçlar aracılığıyla SCM yapılandırmalarını çıkarabilir, yetkisiz derlemeleri tetikleyebilir veya uygun ayrıcalıklara sahip olmayan bulut kurulumlarını listeleyebilir.
Bu, çok kullanıcılı kurulumlarda riskleri artırır ve Jenkins içinde yanal harekete izin verir. 0.86.v7d3355e6a_a_18 sürümüne güncelleme bu kontrolleri uygulayarak aradaki farkı etkili bir şekilde kapatıyor.
Yaygın CSRF, XXE ve Kimlik Bilgisi Riskleri
Bunların ötesinde, danışma belgesi diğer eklentilerdeki, CSRF güvenlik açıkları ve uygunsuz kimlik bilgileri kullanımı da dahil olmak üzere, orta ila yüksek önem derecesine sahip bir grup kusuru ortaya çıkarıyor.
Örneğin, Genişletilebilir Seçim Parametresi Eklentisi (SECURITY-3583, CVE-2025-64133), kimliği doğrulanmamış kullanıcıların kandırılmış etkileşimler yoluyla korumalı alan Groovy kodunu yürütmesine olanak tanıyan bir CSRF uç noktasını (CVSS 4.3) açığa çıkarır ve henüz herhangi bir düzeltme mevcut değildir.
Benzer şekilde, JDepend Eklentisinin güncel olmayan XML ayrıştırıcısı (SECURITY-2936, CVE-2025-64134, CVSS 7.1), hazırlanmış raporları işlerken gizli çıkarma veya SSRF için XXE saldırılarına olanak tanır.
Kimlik bilgisi depolama sorunları birçok eklentinin başına bela oluyor: OpenShift Pipeline (CVE-2025-64143), ByteGuard Build Actions (CVE-2025-64144) ve Curseforge Publisher (CVE-2025-64146) tümü, belirteçleri veya API anahtarlarını job config.xml dosyaları içinde düz metin olarak kaydeder ve Genişletilmiş Okuma erişimi olan kullanıcılar tarafından görüntülenebilir (her biri CVSS 4.3).
Azure-cli Eklentisi, kabuk komut enjeksiyonu (SECURITY-3538, CVE-2025-64140, CVSS 8.8) ile daha da ileri giderek Öğe/Yapılandırma haklarına sahip olanlar için görünürde herhangi bir düzeltme olmaksızın isteğe bağlı denetleyici yürütülmesine olanak tanır.
Themis, Start Windocks Containers, Nexus Task Runner ve Publish to Bitbucket gibi eklentiler ayrıca kimlik bilgilerini sızdırabilecek veya kötü amaçlı URL’lere (CVSS 4.3–5.4) bağlanabilecek CSRF ve eksik kontroller içerir.
Patlıcan Koşucusu Eklentisi, Java HTTP kimlik doğrulama korumasını (SECURITY-3326, CVE-2025-64135, CVSS 5.9) devre dışı bırakarak CVE-2016-5597 risklerini yeniden ortaya çıkarır.
Azaltmalar
Bu güvenlik açıkları, Jenkins’in geniş eklenti ekosisteminin iki ucu keskin kılıcının altını çiziyor: Korunmadığı takdirde güvenlik pahasına çok yönlülük.
1.800’den fazla eklentiyle kurumsal ağlardaki yama yapılmamış örnekler, kimlik doğrulama bypassından RCE’ye kadar istismar zincirleriyle karşı karşıya kalabilir ve bu da yazılım geliştirmede tedarik zinciri tehditlerini artırabilir.
Henüz herhangi bir açıktan yararlanma bildirilmemiştir ancak uyarının zamanlaması artan CI/CD saldırılarıyla uyumludur.
| CVE Kimliği | Eklenti | Önem Derecesi (CVSS v3.1) | Etkilenen Sürümler | Açıklama Özeti | Sabit? |
|---|---|---|---|---|---|
| CVE-2025-64131 | SAML | Yüksek (7,5) | ≤4.583.vc68232f7018a_ | Kimlik doğrulama akışında saldırıyı tekrar oynat | Evet (4.583.585.v22ccc1139f55) |
| CVE-2025-64132 | MCP Sunucusu | Orta (5.4) | ≤0,84.v50ca_24ef83f2 | Araçlar için eksik izin kontrolleri | Evet (0.86.v7d3355e6a_a_18) |
| CVE-2025-64133 | Genişletilebilir Seçim | Orta (4.3) | ≤239.v5f5c278708cf | Groovy yürütmeyi etkinleştiren CSRF | HAYIR |
| CVE-2025-64134 | JDepend | Yüksek (7,1) | ≤1.3.1 | Güncelliğini yitirmiş XML ayrıştırıcı aracılığıyla XXE | HAYIR |
| CVE-2025-64135 | Patlıcan Koşucusu | Orta (5.9) | ≤0.0.1.301.v963cffe8ddb_8 | Java kimlik doğrulama korumasını devre dışı bırakır | HAYIR |
| CVE-2025-64136/64137 | Themis | Orta (4.3) | ≤1.4.1 | URL bağlantısı için CSRF ve eksik kontrolü | HAYIR |
| CVE-2025-64138/64139 | Windock Konteynerleri | Orta (4.3) | ≤1,4 | URL bağlantısı için CSRF ve eksik kontrolü | HAYIR |
| CVE-2025-64140 | masmavi-cli | Yüksek (8,8) | ≤0,9 | Keyfi kabuk komut enjeksiyonu | HAYIR |
| CVE-2025-64141/64142 | Nexus Görev Çalıştırıcısı | Orta (4.3) | ≤0,9,2 | CSRF ve URL/kimlik bağlantısı için eksik kontrol | HAYIR |
| CVE-2025-64143 | OpenShift İşlem Hattı | Orta (4.3) | ≤1.0.57 | Düz metin belirteci depolama | HAYIR |
| CVE-2025-64144/64145 | ByteGuard Derleme Eylemleri | Orta (4.3) | ≤1,0 | Düz metin API belirteci depolama ve maskeleme | HAYIR |
| CVE-2025-64146/64147 | Curseforge Yayıncısı | Orta (4.3) | ≤1,0 | Düz metin API anahtarı depolama ve maskeleme | HAYIR |
| CVE-2025-64148 | Bitbucket’te yayınla | Orta (4.3) | ≤0,4 | Kimlik bilgisi kimliklerini numaralandırır | HAYIR |
| CVE-2025-64149/64150 | Bitbucket’te yayınla | Orta (5.4) | ≤0,4 | CSRF ve URL/kimlik yakalama için eksik kontrol | HAYIR |
Kuruluşlar eklentileri denetlemeli, SAML ve MCP düzeltmelerini hemen uygulamalı, kullanılmayanları devre dışı bırakmalı ve CSRF korumalarını etkinleştirmelidir. Jenkins ekibi, bu temel araçta toplumun dikkatli olmasını vurgulayarak proaktif açıklamalar için muhabirlere teşekkür ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
