Jenkins, kimlik doğrulanmamış ve düşük ayrıcalıklı saldırganların hizmeti bozmak veya hassas konfigürasyon ayrıntılarını öğrenmek için kullanabileceği dört güvenlik kusurunu ele alan kritik güncellemeler yayınladı.
Jenkins Weekly’yi çalıştıran yöneticiler 2.527’ye kadar yayınlar veya 2,516.2’ye kadar uzun vadeli destek (LTS) akışı bu riskleri azaltmak için yükseltmelidir.
HTTP/2 Hizmet Reddi (CVE-2025-5115)
Yüksek şiddetli bir sorun (CVSS 3.1 A: N/AC: L/PR: N/UI: N/S: U/C: N/I: N/A: H) Winstone-Jetty HTTP/2 uygulamasında Jenkins Core ile birlikte. Jenkins eşdeğer bir SystemD hizmet yapılandırması yoluyla başlatıldığında, modası geçmiş iskele sürümü “MadeYoureset” olarak bilinen bir hizmet reddi saldırısına karşı savunmasızdır.
Kimlik dışı saldırganlar, sunucu kaynaklarını tüketmek için kontrol edilmemiş HTTP/2 kareleri tetikleyerek Jenkins’in çökmesine neden olabilir.
Bu kusur Jenkins 2.523 ve daha önce ve HTTP/2 etkinleştirildiğinde LTS 2.516.2’yi etkiler. HTTP/2, yerel yükleyicilerde ve resmi Docker görüntülerinde varsayılan olarak devre dışı kalır, danışmanlığı okur.
Jenkins 2.524 ve LTS 2.516.3’teki düzeltmeler iskeleyi 12.0.25 sürümüne güncelleyerek güvenlik açığını ortadan kaldırır. Hemen yükseltilemeyen yöneticilerin HTTP/2 desteğini devre dışı bırakmaları şiddetle tavsiye edilir.
İzin kontrolü ihmalleri (CVE-2025-59474, CVE-2025-59475)
İki orta yüzlük kusuru, dahili bileşenlerin yetkisiz numaralandırılmasına izin verir. SidePanel Executors Widget’ta Jenkins 2.527 ve önceki (LTS 2.516.2 ve önceki) genel/okuma iznini uygulanamaz ve kimlik doğrulanmamış kullanıcıların aracı adlarını listelemesine izin verir (CVE-2025-59474).
Benzer şekilde, kimlik doğrulamalı kullanıcı profili açılır listesindeki bir hata (CVE-2025-59475), kimlik bilgileri eklentisi gibi hangi eklentilerin menü girişlerini inceleyerek yüklendiğini keşfetmesine minimum ayrıcalıklara sahip saldırganlara izin verir.
Her iki sorun da savunmasız kenar planlarını kaldıran ve profil menülerinde izin kontrollerini uygulayan Jenkins Weekly 2.528 ve LTS 2.516.3’te çözüldü.
Günlük mesajı enjeksiyonu (CVE-2025-59476)
Jenkins’in 2,527’ye (LTS 2.516.2 ve önceki) kadar sürümlerde konsol günlük oluşturma sistem günlüklerine yazmadan önce kullanıcı kontrollü içeriği dezenfekte etmez (jenkins.log ve eşdeğerler).
Saldırganlar, taşıma dönüşü veya satır besleme karakterleri ekleyebilir veya hatta “Truva Kaynağı” kod noktaları – günlük girişleri, olay tepkisini engelleyen yanıltıcı günlük çizgileri oluşturabilir.
Haftalık 2.528 ve LTS 2.516.3 öneklerinde güncelleme, [CR]- [LF]veya [CRLF] ancak yöneticilerin hala olağandışı karakterleri vurgulayan ve güvenilir personele günlük erişimini kısıtlayan günlük görüntüleyenler kullanmaları önerilmektedir.
| CVE | Başlık | CVSS 3.1 puanı | Şiddet |
| CVE-2025-5115 | HTTP/2 Hizmet Reddetme | 7.5 | Yüksek |
| CVE-2025-59474 | Eksik İzin Kontrolü Aracı Adlarının Alınmasına izin verir | 5.3 | Orta |
| CVE-2025-59475 | Kimlik doğrulamalı kullanıcıların profil menüsünde eksik izin kontrolü | 4.6 | Orta |
| CVE-2025-59476 | Günlük mesajı enjeksiyon güvenlik açığı | 4.4 | Orta |
Hafifletme
Tüm Jenkins kullanıcıları hemen yükseltmelidir: haftalık sürümler 2.528’e ve LTS’ye 2.516.3’e.
Bu sürümler toplu olarak yüksek aralıklı HTTP/2 DOS (CVE-2025-5115) ve orta şiddetli izin-kontrol ve log enjeksiyon kusurlarını (CVE-2025-59475; CVE-2025-59476) ele alır.
Güvenlik araştırmacıları Daniel Beck (Cloudbees, Inc.), Manuel Fernandez (Stackhopper Security) ve IBM Cloud Red ekip üyeleri Robert Houtenbrink, Faris Mohammed ve Harsh Yadav bu sorunları bildirdi.
Yükseltemeyen yöneticiler en azından HTTP/2’yi devre dışı bırakmalı ve sömürü önlemek için günlük dosyalarına erişimi kısıtlamalıdır.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.