6 Haziran 2025’te Jenkins Projesi, Jenkins otomasyon sunucusunda performans testi raporlarını görüntülemek için yaygın olarak kullanılan bir araç olan Gatling eklentisini etkileyen bir güvenlik danışmanlığı (güvenlik-3588 / cVE-2025-5806) yayınladı.
Güvenlik açığı, farklı sürümlerde 8.0 ila 9.0 arasında değişen CVSS taban puanları ile yüksek bir şiddet derecesi taşır ve bu da etkilenen sistemler için önemli bir risk olduğunu gösterir.
Güvenlik Açığı Genel Bakış ve Teknik Ayrıntılar
Temel sorun, Gatling raporlarını Jenkins Sürümleri 1.641 ve 1.625.3’te tanıtılan içerik-güvenlik politikası (CSP) korumalarını atlayacak şekilde sunan 136.vb_9009b_3d33a_e sürümünde yatmaktadır.
.png
)
Bu bypass, CWE-79 olarak sınıflandırılan bir siteler arası komut dosyası (XSS) güvenlik açığı sağlar-web sayfası oluşturma sırasında girişin etkilenen nötralizasyonu.
Rapor içeriğini değiştirme yeteneğine sahip saldırganlar-düşük ayrı erişimi olanlar bile-diğer kullanıcıların tarayıcıları bağlamında yürütülen kötü amaçlı komut dosyaları enjekte edebilir.
Bu tür komut dosyaları, hassas oturum çerezlerinin hırsızlığına, yetkisiz eylemlere ve kullanıcı kimlik bilgilerinin veya hassas bilgilerin uzlaşmasına yol açabilir.
İlgili teknik terimler ve kodlar:
- İçerik-Güvenlik Politiği (CSP): Komut dosyalarının ve diğer kaynakların yüklenebileceği kaynakları kısıtlayarak XSS’yi önlemek için tasarlanmış bir güvenlik standardı.
- Siteler Arası Komut Dosyası (XSS): Diğer kullanıcılar tarafından görüntülenen web sayfalarına kötü amaçlı komut dosyalarının enjekte edildiği bir güvenlik açığı.
- CVE-2025-5806: Bu güvenlik açığı için resmi tanımlayıcı.
- Güvenlik-3588: Jenkins İç Danışma Tanımlayıcısı.
- CVSS: 3.1/AV: N/AC: L/PR: L/UI: R/S: U/C: H/I: H/A: H: Yüksek gizlilik, bütünlük ve kullanılabilirlik etkilerini gösteren ortak güvenlik açığı puanlama sistemi (CVSS) vektörü.
Etkilenen sürümler ve azaltma stratejileri
Güvenlik açığı, 136.VB_9009B_3D33A_E’ye kadar ve dahil olmak üzere Gatling eklenti sürümlerini özellikle etkiler.
Bazı belgelerin aksine, önceki sürümler etkilenmez – bunun nedeni, danışma sayfalarının jenkins.io’da nasıl oluşturulduğuna dair teknik bir sınırlamadan kaynaklanmaktadır.
Etkilenen eklenti ve sürüm tablosu
| Eklenti adı | Etkilenen sürüm (ler) | Etkilenmedi (açıklama) |
|---|---|---|
| Gatling eklentisi | 136.vb_9009b_3d33a_e’ye kadar | Etkilenmeden önce versiyonlar |
Danışmanlığın yayını itibariyle resmi bir yama mevcut değildir.
Jenkins Projesi, geçici bir azaltma önlemi olarak Gatling eklentisi sürüm 1.3.0’a düşürülmenizi önerir.
Azaltma Stratejileri:
- Sürüm 1.3.0’a düşürme: Bir düzeltme yayınlanana kadar, bu birincil öneridir.
- Rapor Değişikliğini Kısıtlayın: Saldırı yüzeyini azaltmak için Gatling rapor içeriğini kim değiştirebileceğini sınırlayın.
- Ek giriş doğrulaması uygulayın: Komut dosyası enjeksiyonunu önlemek için katı giriş validasyonu ve çıkış kodlaması uygulayın.
- CSP ayarlarını gözden geçirin ve güçlendirin: İçerik-güvenlik politikası başlıklarının düzgün bir şekilde yapılandırıldığından ve uygulandığından emin olun.
- Güvenlik İncelemeleri yapın: Eklenti yapılandırmalarının ve kullanıcı izinlerinin kapsamlı incelemelerini yapın.
Risk değerlendirmesi ve endüstri yanıtı
Güvenlik açığı, Jenkins Projesi, Cloudbees ve Güvenlik Araştırmacıları da dahil olmak üzere birçok kaynak tarafından yüksek bir şiddet derecesi verilmiştir.
8.0-9.0 CVSS taban skoru, sömürülürse önemli etki potansiyelini yansıtır, ancak şu anda aktif sömürü veya kamu kavram kanıtı kanıtı yoktur.
NVD, GitHub Danışma Veritabanı ve Tenable dahil olmak üzere güvenlik danışmanları ve güvenlik açığı veritabanları ayrıntılı analizler yayınlamıştır.
İstismar Tahmin Puanlama Sistemi (EPSS), önümüzdeki 30 gün içinde sömürü faaliyetinin düşük bir olasılığını (%0.04) tahmin ediyor, ancak kuruluşların uyanık kalmaları isteniyor.
Güvenlik ekipleri için temel çıkarımlar:
- Güncellemeler için Monitör: Gatling eklentisi için yeni sürümler veya yamalar hakkında bilgi sahibi olun.
- En az ayrıcalık uygulayın: Kullanıcı izinlerini yalnızca gerekli olanla sınırlayın.
- İzlemeyi Geliştirin: Rapor oluşturma ve erişim ile ilgili olağandışı faaliyetler için izleme uygulayın.
- Kullanıcıları eğitin: Sömürüye yol açabilecek eylemleri tanımak ve bunlardan kaçınmak için personeli eğitin.
Jenkins Gatling Eklenti Güvenlik Açığı (CVE-2025-5806 / Security-3588), eklenti ekosistemlerini otomasyon platformlarında güvence altına almanın devam eden zorluklarını vurgulamaktadır.
Hemen düzeltilmeden kuruluşlar, çevrelerini korumak için indirgeme, katı erişim kontrolleri ve gelişmiş güvenlik uygulamalarına güvenmelidir.
Güvenlik ekipleri bu danışmanlığa öncelik vermeli ve mevcut olur olmaz yamaları uygulamaya hazırlanmalıdır.
Bilgilendirilmiş ve proaktif kalarak kuruluşlar, bu yüksek şiddetli XSS güvenlik açığının ortaya koyduğu riskleri azaltabilir ve CI/CD boru hatlarının bütünlüğünü koruyabilir.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun