Jenkins Gatling Eklenti Güvenlik Açığı Saldırganların İçerik Güvenliği Polisy Koruması

Popüler Jenkins Gatling eklentisinde kritik bir siteler arası komut dosyası (XSS) güvenlik açığı, saldırganların içerik-güvenlik politikası (CSP) korumalarını atlamalarını sağlar.

CVE-2025-5806 olarak izlenen güvenlik açığı, Gatling eklentisi sürümünü 136.vb_9009b_3d33a_e etkiler ve bu performans testi entegrasyon aracını kullanarak Jenkins ortamları için önemli riskler oluşturmaktadır.

Güvenlik açığı, Gatling eklentisi 136.vb_9009b_3d33a_e’nin Jenkins ortamında Gatling performans test raporlarına nasıl hizmet ettiğinden kaynaklanmaktadır.

Eklenti, XSS saldırılarına karşı temel bir güvenlik önlemi olarak Jenkins sürümlerinde 1.641 ve 1.625.3’te tanıtılan içerik güvenlik politikası kısıtlamalarını düzgün bir şekilde uygulayamaz.

Jenkins Gatling eklentisi güvenlik açığı

İçerik Sekreterlik Polisy (CSP), hangi kaynakların bir web sayfası tarafından yüklenebileceğini ve yürütülebileceğini kontrol ederek siteler arası komut dosyası saldırılarının önlenmesine yardımcı olan kritik bir web güvenlik standardıdır.

Uygun şekilde uygulandığında, CSP, uygulamaya kötü niyetli içerik enjekte edilmiş olsa bile, yetkisiz komut dosyalarının yürütülmesini kısıtlayan savunma bariyeri görevi görür.

Ancak, Gatling eklentisinin mevcut uygulaması, performans testi raporları oluştururken bu korumaları tamamen atlar.

Güvenlik açığı, Gatling raporlarındaki kullanıcı tarafından kontrol edilen içeriğin kötü amaçlı JavaScript kodunu enjekte etmek ve yürütmek için kaldırılabileceği eklentinin rapor sunma mekanizmasında özellikle kendini gösterir.

Bu bypass, eklentinin normalde bu komut dosyası yürütülmesini önleyecek CSP başlıklarını yeterince uygulamadan rapor içeriğini işlediği ve görüntülediği için oluşur.

Bu güvenlik açığının sömürülmesi, genellikle geliştiricileri, KG mühendislerini ve sistem yöneticilerini uygun Jenkins izinleriyle içeren Gatling rapor içeriğini değiştirme yeteneğine sahip kullanıcıları gerektirir.

Saldırganlar, sömürüldükten sonra, Jenkins uygulaması bağlamında keyfi JavaScript kodu yürütebilir ve potansiyel olarak oturum kaçırma, kimlik gerçeği veya yetkisiz idari eylemlere yol açar.

Bu kırılganlığa atanan yüksek CVSS şiddet derecesi, Jenkins’in altyapısı üzerinde önemli etki potansiyelini yansıtmaktadır.

Başarılı sömürü, saldırganların Jenkins konfigürasyonlarını manipüle etmesini, duyarlı oluşturma bilgilerine erişmesini, dağıtım boru hatlarını değiştirmesini veya sistem içindeki ayrıcalıkları artırmasını sağlayabilir.

Jenkins’in birçok CI/CD ortamında merkezi rolü göz önüne alındığında, böyle bir uzlaşmanın tüm geliştirme ve dağıtım iş akışlarında basamaklı etkileri olabilir.

Azaltma

Jenkins’in güvenlik ekibi, etkilenen Gatling eklenti sürümü 136.vb_9009b_3d33a_e için şu anda hiçbir yama bulunmadığını doğruladı.

Danışma, yayın tarihinden itibaren, Jenkins’in eşlik eden bir yama olmadan bir güvenlik açığını ifşa ettiği alışılmadık bir durumu temsil eden bu güvenlik açığı için bir düzeltme olmadığını açıkça belirtiyor.

Jenkins tarafından önerilen birincil azaltma stratejisi, bu güvenlik açığından etkilenmeyen Gatling Eklentisi Sürüm 1.3.0’a düşürülmeyi içerir.

Kuruluşlar, savunmasız eklenti sürümünü çalıştıran ve indirgeme prosedürlerini planlamak için kurulumları tanımlamak için Jenkins ortamlarını derhal değerlendirmelidir.

Güvenlik ekipleri, özellikle rapor oluşturma ve görüntüleme faaliyetlerine odaklanan olağandışı Jenkins etkinliği için ek izleme uygulamalıdır. Jenkins örneklerinin güvenilmeyen kullanıcılara maruz kalmasını sınırlamak için ağ segmentasyonu ve erişim kontrolleri gözden geçirilmelidir.

Hemen düşüremeyen kuruluşlar, kalıcı bir düzeltme sağlanana kadar Gatling eklentisini geçici olarak devre dışı bırakmayı düşünmelidir.

Uç nokta korumasını ücretsiz olarak yükselten yeni nesil antivirüsü deneyin