Пользователи сервера автоматизации Jenkins столкнулись с серьезными угрозами безопасности после обнаружения 14 различных уязвимостей в нескольких плагинах. Согласно последним данным, выявленные недостатки безопасности включают механизмы обхода аутентификации, отсутствие проверки разрешений и проблемы раскрытия учетных данных, что в совокупности создает серьезные риски для корпоративной инфраструктуры непрерывной интеграции и доставки (CI/CD).
Детали уязвимостей
Наиболее критичная уязвимость обнаружена в плагине SAML (Security Assertion Markup Language), получившая идентификатор CVE-2025-64131 с высоким баллом CVSS 8.4. Проблема затрагивает версии 4.583.vc68232f7018a и более ранние, где разработчики не реализовали защиту от повторного использования запросов аутентификации. Это позволяет злоумышленникам перехватывать и повторно использовать SAML-запросы аутентификации между веб-браузером пользователя и Jenkins. Такой обход аутентификации предоставляет атакующим полный доступ к учетным записям пользователей без необходимости наличия действительных учетных данных или данных аутентификации.
Для успешной атаки злоумышленникам требуется получить информацию о процессе SAML-аутентификации, но после перехвата повторно использованные запросы аутентифицируют их как легитимных пользователей. Команда Jenkins устранила этот критический пробел, реализовав надлежащую защиту кэша повторного использования в версии 4.583.585.v22ccc1139f55, что делает немедленное обновление обязательным для затронутых развертываний.
Плагин MCP Server содержит множественные сбои авторизации в версии 0.84.v50ca_24ef83f2 и более ранних, оцененные как уязвимости средней серьезности через CVE-2025-64132. Плагин не выполняет адекватные проверки разрешений для нескольких инструментов, создавая пути для повышения привилегий. Атакующие с базовыми разрешениями Item/Read могут получать конфиденциальную информацию о настроенных системах контроля версий, несмотря на отсутствие привилегий Item/Extended Read. Более тревожным является то, что тот же низкоуровневый доступ позволяет атакующим запускать новые сборки защищенных заданий без разрешений Item/Build. Дополнительные пробелы в аутентификации разрешают неаутентифицированным пользователям, не имеющим разрешений Overall/Read, получать имена настроенных облачных сред. Версия 0.86.v7d3355e6a_a_18 устраняет эти недостатки авторизации через всестороннюю проверку разрешений.
Уязвимость CVE-2025-64145 в плагине Azure CLI представляет еще одну высокоуровневую угрозу с оценкой CVSS 8.8. Плагин не ограничивает выполнение shell-команд на контроллере Jenkins, позволяя атакующим с разрешениями Item/Configure выполнять произвольные системные команды. Уязвимость плагина JDepend CVE-2025-64134 внедряет инъекцию XML External Entity через устаревшие зависимости, потенциально раскрывая секреты или позволяя проводить атаки подделки межсайтовых запросов на стороне сервера.
Дополнительные слабости включают уязвимости CSRF в нескольких плагинах, хранение токенов аутентификации и API-ключей в открытом виде в файлах конфигурации, а также перечисление учетных данных через отсутствующие проверки разрешений. Несколько плагинов хранят конфиденциальные учетные данные в незашифрованном виде в файлах config.xml, доступных для просмотра пользователям с разрешениями Item/Extended Read или доступом к файловой системе.
Организации, использующие затронутые развертывания Jenkins, должны в первую очередь устранить высокоуровневые уязвимости, особенно атаки повторного использования в SAML-плагине и инъекции команд в Azure CLI. Многие плагины уже получили исправления, хотя в нескольких рекомендациях отмечаются нерешенные уязвимости без доступных исправлений на момент публикации. Корпоративным командам следует пересмотреть свой перечень плагинов в соответствии со списком затронутых версий и немедленно применить доступные обновления безопасности.
Следует особо отметить, что уязвимости, связанные с хранением учетных данных в открытом виде, создают дополнительные риски для организаций, поскольку могут привести к утечке конфиденциальной информации. Проблемы с маскировкой учетных данных в нескольких плагинах позволяют злоумышленникам получать доступ к чувствительной информации через интерфейсы управления. Все обнаруженные уязвимости подчеркивают важность регулярного обновления не только основного сервера Jenkins, но и всех установленных плагинов, поскольку многие проблемы безопасности возникают именно в дополнительных компонентах системы.
Эксперты по безопасности рекомендуют организациям проводить регулярный аудит установленных плагинов и удалять неиспользуемые компоненты, чтобы минимизировать поверхность атаки. Также важно настроить мониторинг безопасности для обнаружения подозрительной активности, связанной с попытками эксплуатации известных уязвимостей. Для критически важных сред следует рассмотреть возможность использования решений для управления уязвимостями, которые могут автоматически обнаруживать и сообщать о проблемах безопасности в инфраструктуре CI/CD.
Обновление до последних версий затронутых плагинов является наиболее эффективным способом защиты от описанных угроз. Для плагинов, где исправления еще не доступны, рекомендуется рассмотреть временные меры mitigation, такие как ограничение сетевого доступа к экземплярам Jenkins или отключение проблемных функций до выпуска официальных исправлений. Постоянная бдительность и своевременное применение исправлений остаются ключевыми элементами поддержания безопасности в сложных средах автоматизации.
