Aqua Securityは3月8日(米国時間)、「CorePlague: Severe Vulnerabilities in Jenkins Server Lead to RCE」において、Jenkinsにリモートコード実行(RCE: Remote Code Execution)が可能となる2つの重大な脆弱性があると伝えた。Jenkins ServerおよびJenkins Update Centerに「CorePlague」と名付けられた一連の脆弱性があることがわかった。

  • CorePlague: Severe Vulnerabilities in Jenkins Server Lead to RCE

    CorePlague: Severe Vulnerabilities in Jenkins Server Lead to RCE

CorePlagueはCVE-2023-27898およびCVE-2023-27905として追跡されている脆弱性。CVE-2023-27898は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)の深刻度が重要(High)と位置づけられ、CVE-2023-27905は共通脆弱性評価システムの深刻度が警告(Medium)と位置づけられており注意が必要。

これらの脆弱性が悪用された場合、認証されていない攻撃者が被害者のJenkinsサーバ上で任意のコードを実行でき、Jenkinsサーバの完全な侵害につながる危険性があるとされている。Jenkinsサーバが攻撃者から直接到達できない場所でも悪用される可能性があるとされ、セルフホスティングのJenkinsサーバにも影響を及ぼす可能性があると指摘されている。

CorePlagueを発見したAqua Securityは、2023年1月にこれら脆弱性をJenkinsチームに通知している。Jenkinsチームは脆弱性があることを認め、Jenkins CoreおよびJenkins Update Centerに対して修正パッチをリリースしている。

Jenkinsから2つの脆弱性を含むセキュリティアドバイザリが公開されている。

CorePlagueの影響を受けるプロダクトおよびバージョンは次のとおり。

  • Jenkins Server 2.270〜2.393、LTS 2.277.1〜2.375.3
  • Jenkins Update Center 3.14以前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Jenkins Server 2.394、LTS 2.375.4, LTS 2.387.1以降のバージョン
  • Jenkins Update Center 3.15以降のバージョン

Jenkinsユーザはセキュリティアドバイザリの情報を確認するとともに、該当するプロダクトを使用している場合は速やかにアップデートを実施することが望まれる。