Jenkinsに複数の深刻な脆弱性 アップデートが難しい場合の暫定策は？：セキュリティニュースアラート

Jenkins CIはコアおよびプラグインの脆弱性を公表した。アーカイブ展開時の任意ファイル書き込みやCLIの検証不備、APIキーの平文保存などが含まれる。RCEの恐れもあり、最新版への速やかな更新と認証設定の再確認が求められる。

[ITmedia エンタープライズ編集部，ITmedia]

　Jenkins CIは2026年3月18日（現地時間）、「継続的インテグレーション／継続的デリバリー」（CI/CD）ソフトウェア「Jenkins」プロジェクトのセキュリティアドバイザリーを公開し、コアおよびプラグインに複数の脆弱（ぜいじゃく）性が存在することを明らかにした。いずれもCI/CD環境の安全性に影響を及ぼす可能性があり、利用者に速やかな更新を呼びかけている。

アーカイブ展開やCLIの欠陥、RCEのリスクを修正

　公表された問題のうち、アーカイブ展開処理に関する欠陥が特に重大とされる。対象バージョンにおいては.tarおよび.tar.gz形式の展開時にシンボリックリンクの扱いが不十分とされ、細工されたアーカイブファイルを読み込むことで本来の展開先を逸脱した場所にファイルを書き込まれる恐れがある。攻撃者がジョブ設定権限を持つ、もしくはエージェントを制御できる場合、初期化スクリプトやプラグイン領域への不正配置を通じてコード実行に至る可能性がある。

　影響はアーティファクト保存機能やパイプライン処理など広範におよび、コントローラーでファイルが扱われる構成では特に注意が必要とされる。修正版では展開対象ディレクトリ外に実体パスが存在するファイルや、不正なリンクを含むケースを拒否する仕様に改められている。

　もう一つの重大な問題として、WebSocketベースのCLI機能に関する検証処理の不備が公開された。対象バージョンにおいては、接続元の正当性確認にHTTPヘッダ情報を利用していたが、この仕組みがDNSリバインディング攻撃によって回避される可能性がある。攻撃者はユーザーを細工されたWebサイトに誘導し、内部ネットワークのコントローラーに対して不正な接続を確立できる。

　この攻撃が成立するには、HTTP通信で公開されていることや、CLIのWebSocketエンドポイントが有効であることなど複数の条件が必要とされるが、匿名ユーザーに権限が付与されている場合、コマンド実行やスクリプト機能の悪用につながる危険がある。修正版では設定済みのJenkins URLを基準に接続元を判定し、不一致や未設定時には接続を拒否する仕組みに変更された。

　「LoadNinja」プラグインにも中程度の問題が確認された。従来のバージョンではAPIキーが暗号化されないまま設定ファイルに保存され、閲覧権限を持つユーザーやファイルシステムにアクセス可能な環境下で漏えいする可能性があった。加えて、設定画面でも値が隠されない仕様であり、情報露出のリスクが高まっていた。最新バージョンでは保存時の暗号化と表示時のマスキングが導入されている。

　影響を受けるのは、Jenkins本体ではバージョン2.554までおよびLTS 2.541.2まで、LoadNinjaプラグインでは2.1までとされる。対策として、Jenkinsは2.555またはLTS 2.541.3、プラグインは2.2への更新が推奨されている。

　更新が難しい際の暫定措置として、管理者は認証設定の強化や匿名ユーザー権限の見直しが推奨されている。CI/CD基盤は開発工程の中核を担うため、これらの問題はソフトウェア供給網全体に影響を及ぼす可能性があり、迅速な対応が求められている。