CI/CD boru hatları için yaygın olarak kullanılan otomasyon sunucusu Jenkins, popüler eklentilerdeki çeşitli güvenlik açıklarını ele alan kritik bir güvenlik danışmanlığı yayınladı.
Kimlik doğrulama bypass’larından siteler arası komut dosyasına kadar olan bu kusurlar, saldırganların Jenkins ortamlarını tehlikeye atmasına, kimlik doğrulamasını atlamasına veya yüksek ayrıcalıklar kazanmasına izin verebilir.
Güvenlik güncellemeleri etkilenen eklentiler için temel yamalar getirir, ancak bazı durumlarda hemen düzeltme mevcut değildir. İşte risk altında olanların ve kullanıcıların atması gereken adımların bir dökümü.
.png
)
Açıklanan en şiddetli sorunlar arasında, OpenID Connect sağlayıcı eklentisi (CVE-2025-47884, kritik olarak derecelendirilmiş), yapı kimliği jetonları oluştururken çevre değişkenlerini yanlış doğru bir şekilde doğrulamaya çalışmıştır.
96.ve8ed882ec4d’e kadar sürümlerde, bu saldırganlara izin verdiler-eğer işleri yapılandırabilir ve çevre değişkenlerini değiştirebilirlerse, jenkins ile entegre dış hizmetlere yetkisiz erişim sağlayarak güvenilir işleri taklit ederler.
Daha da endişe verici olan WSO2 OAuth eklentisindeki güvenlik açığıdır (CVE-2025-47889, kritik olarak derecelendirilir).
1.0’a kadar olan tüm sürümlerde, eklentinin güvenlik alanı doğrulanmadan herhangi bir kimlik doğrulama talebini kabul eder.
Bu, kimlik doğrulanmamış saldırganların, yapılandırılmış yetkilendirme stratejisine bağlı olarak onlara yönetici erişimini veren var olmayan kullanıcı adları da dahil olmak üzere keyfi kimlik bilgileri kullanarak oturum açmalarına olanak tanır.
Bazı grup tabanlı izinler atanmasa da, bu kusur özellikle “oturum açmış kullanıcıların her şeyi yapabileceği” ortamlarda tehlikelidir.
Her iki eklenti de Jenkins tarafından yönetilen CI/CD boru hatlarının bütünlüğü ve gizliliği için önemli riskler oluşturmaktadır.
OpenID Connect sağlayıcı eklentisi 111.V29FD614B_3617 sürümünde yamalanmış olsa da, WSO2 OAuth eklentisi için henüz bir düzeltme mevcut değildir.
Cloudbees eklentisi tarafından sağlık danışmanında depolanmış bir siteler arası komut dosyası (XSS) güvenlik açığı (CVE-2025-47885, yüksek puan) tanımlanmıştır.
Jenkins Sağlık Danışmanı sunucusundan yanıtları kontrol eden saldırganlar, kötü niyetli komut dosyaları enjekte edebilir ve bu da potansiyel olarak oturum kaçırma veya bilgi açıklamasına yol açabilir.
Bu sorun 374.v194b_d4f0c8c8’e kadar sürümleri etkiledi ve sunucu yanıtlarından düzgün bir şekilde kaçan 374.376.v3a_41a_a_142efe sürümünde çözüldü.
Bu arada, Cadence Vmanager eklentisi iki orta yüzlük sorunu sundu:
- Siteler Arası Talep Arıtma (CSRF) güvenlik açığı (CVE-2025-47886),
- Ve eksik izin kontrolleri (CVE-2025-47887).
4.0.1-286.v9e25a_740b_a_48’e kadar sürümlerde, temel okuma izinlerine sahip saldırganlar, saldırgan belirtilen kimlik bilgileriyle keyfi URL’lere bağlantı kurmak gibi yetkisiz eylemler gerçekleştirmek için bu zayıflıklardan yararlanabilir.
Taze yayınlanan 4.0.1-288.v8804b_ea_a_cb_7f sürümü, bu riskleri hafifleterek sonrası talepler ve daha katı izinler gerektirir.
SSL/TLS doğrulama ve yama önerileri
DingTalk eklentisi (CVE-2025-47888, Medium), kullanıcıları potansiyel potansiyel ortada saldırılara maruz bırakarak varsayılan olarak SSL/TLS sertifikasını ve ana bilgisayar adı doğrulamasını devre dışı bırakır.
Ne yazık ki, bu danışmanlıktan itibaren, bu güvenlik açığı için hiçbir yama mevcut değildir.
Yöneticiler, aşağıdaki eklentileri hemen sabit sürümlerine güncellemeleri istenir:
- Cadence Vmanager eklentisi: 4.0.1-288.v8804b_ea_a_cb_7f
- Cloudbees eklentisi tarafından Sağlık Danışmanı: 374.376.v3a_41a_a_142efe
- OpenId Connect Sağlayıcı eklentisi: 111.v29fd614b_3617
DingTalk ve WSO2 OAUTH eklentilerinin kullanıcıları güncellemeleri izlemeli ve düzeltmeler yayınlanana kadar bu eklentileri devre dışı bırakmayı veya kısıtlamayı düşünmelidir.
Jenkins Projesi, Cloudbees, Inc.’den güvenlik araştırmacılarına ve bu sorunları sorumlu bir şekilde bildirdikleri için bağımsız katkıda bulunanlara kredi veriyor.
Güvenlik bilincine sahip Jenkins yöneticilerine eklenti yapılandırmalarını gözden geçirmeleri, önerilen güncellemeleri derhal uygulamaları ve çözülmemiş güvenlik açıklarına yönelik düzeltmeler için resmi kanalları izlemeleri tavsiye edilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!