Jenkinsに「緊急」の脆弱性が見つかる 急ぎアップデートを：セキュリティニュースアラート

SonarSourceはJenkinsに重大な脆弱性を発見した。これらは「CVE-2024-23897」「CVE-2024-23898」として特定されており、既に悪用が確認されているという。

[後藤大地，有限会社オングス]

　SonarSourceは2024年1月25日（現地時間、以下同）、「継続的インテグレーション／継続的デリバリー」（CI/CD）のためのソフトウェア「Jenkins」に重大な脆弱（ぜいじゃく）性を発見したと伝えた。これらの脆弱性は「CVE-2024-23897」や「CVE-2024-23898」などで特定されている。

Jenkinsに重大な脆弱性が見つかった（出典：SonarSourceのWebサイト）

Jenkinsに「緊急」の脆弱性が見つかる　悪用されるとどうなるか？

　Jenkinsはプラグインによる機能の拡張や複雑なビルドパイプラインのサポート、マスター／スレーブアーキテクチャ、さまざまなバージョン管理システム、スクリプト化と自動化対応など、高い汎用性と柔軟性があることから小規模なプロジェクトから大企業に至るまで幅広いシーンで採用されている。

　CVE-2024-23897が悪用された場合、認証されていないサイバー攻撃者が任意のファイルデータを読み取れる他、許可されたサイバー攻撃者はJenkinsサーバから任意のファイル全体を読み取ることが可能だ。これを悪用されると、最終的に特権昇格によって任意のコードが実行される危険性がある。

　CVE-2024-23898が悪用された場合、サイバー攻撃者は被害者を操作してリンクをクリックさせることで任意のCLIコマンドを実行させることが可能になる。

　Jenkinsコミュニティーは2024年1月24日の時点でこの脆弱性に関するセキュリティアドバイザリを公開している。「CVE-2024-23897」の深刻度は「緊急」（Critical）と評価され、「CVE-2024-23898」の深刻度は「重要」（High）と評価されている。該当バージョンを使用している際には迅速に対応することが求められる。

　脆弱性の影響を受けるプロダクトとバージョンは以下の通りだ。

• Jenkins 2.442よりも前のバージョン
• Jenkins 2.426.3よりも前のバージョン

　これらの脆弱性を利用する概念実証（PoC）が既に公開されており、さらに研究者らは悪用が確認されたことなども指摘している。