В системе непрерывной интеграции Jenkins обнаружен комплекс серьезных уязвимостей, позволяющих злоумышленникам осуществлять удаленные атаки с целью нарушения работоспособности систем, манипуляции данными, обхода механизмов безопасности и получения конфиденциальной информации. Согласно официальному бюллетеню безопасности Jenkins от 17 сентября 2025 года, проблемы затрагивают как основную платформу, так и связанные компоненты.
Детали уязвимостей
Наиболее критичной признана уязвимость SECURITY-3618 (CVE-2025-5115) с высоким уровнем опасности по шкале CVSS. Проблема существует в компоненте Winstone-Jetty, который Jenkins использует в качестве HTTP-сервера при запуске через java -jar jenkins.war. Уязвимость, известная как "MadeYouReset", позволяет неавторизованным злоумышленникам инициировать условие отказа в обслуживании (Denial of Service) через протокол HTTP/2. Важно отметить, что эта уязвимость активна только при явном включении HTTP/2 с использованием параметра --http2Port, который по умолчанию отключен во всех установочных пакетах и Docker-образах Jenkins.
Версии Jenkins 2.524 и LTS 2.516.3 содержат обновленную версию Jetty 12.0.25, не подверженную данной проблеме. Администраторам, которые не могут немедленно обновиться, рекомендуется отключить поддержку HTTP/2 в своих конфигурациях.
Средний уровень опасности присвоен трём дополнительным уязвимостям. SECURITY-3594 (CVE-2025-59474) связана с отсутствием проверки прав доступа в боковой панели интерфейса. Это позволяет пользователям без разрешения Overall/Read получать список имен агентов через виджет исполнителей. Проблема устранена в версиях 2.528 и LTS 2.516.3 путем полного удаления боковой панели из уязвимого представления.
Еще одна уязвимость среднего уровня SECURITY-3625 (CVE-2025-59475) касается недостаточной проверки разрешений в выпадающем меню профиля аутентифицированных пользователей. Злоумышленники могли определить определенные аспекты конфигурации системы, такие как наличие установленного Credentials Plugin, просто анализируя доступные пункты меню. Новые версии требуют наличия права Overall/Read для отображения элементов этого меню.
Уязвимость SECURITY-3424 (CVE-2025-59476) затрагивает механизм логирования. Из-за отсутствия фильтрации пользовательского контента в сообщениях журнала, злоумышленники могли внедрять символы перевода строки и поддельные записи, что потенциально вводило администраторов в заблуждение при анализе логов. В исправленных версиях добавлены специальные маркеры [CR], [LF] или [CRLF] в начале строк, содержащих пользовательский контент, что визуально выделяет потенциально опасные записи. Однако полностью проблема не устранена - сохраняется возможность использования специальных символов, включая Unicode-символы типа "Trojan Source", для манипуляции отображением. Специалисты рекомендуют использовать продвинутые средства просмотра логов с подсветкой нестандартных символов.
Затронутыми считаются все версии Jenkins weekly до 2.527 включительно и Jenkins LTS до 2.516.2 включительно. Для устранения всех перечисленных уязвимостей крайне необходимо обновить weekly-версии до 2.528, а LTS-версии - до 2.516.3. Регулярное и своевременное обновление программного обеспечения остается наиболее эффективной мерой защиты от известных киберугроз. Администраторам также рекомендуется проводить аудит настроек безопасности и минимизировать права доступа пользователей в соответствии с принципом наименьших привилегий.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-5115
- https://www.cve.org/CVERecord?id=CVE-2025-59474
- https://www.cve.org/CVERecord?id=CVE-2025-59475
- https://www.cve.org/CVERecord?id=CVE-2025-59476
- https://www.jenkins.io/security/advisory/2025-09-17/
