Nhiều lỗ hổng trong Jenkins, được theo dõi từ CVE-2025-27622 đến CVE-2025-27625, ảnh hưởng đến nhiều khía cạnh của nền tảng Jenkins, bao gồm quản lý bí mật, bảo vệ chống lại các yêu cầu giả mạo (CSRF) và xác thực URL. Dưới đây là tóm tắt chi tiết về từng lỗ hổng:
CVE-2025-27622 và CVE-2025-27623: Lộ bí mật mã hóa
Mô tả:
Các lỗ hổng này phát sinh từ việc che giấu không đúng cách các bí mật mã hóa trong cấu hình tác nhân và chế độ xem. Kẻ tấn công có quyền truy cập Agent/Extended Read hoặc View/Read có thể khai thác các hệ thống chưa được vá để truy cập dữ liệu nhạy cảm lưu trữ trong tệp config.xml thông qua API REST hoặc các điểm cuối CLI.
Tác động:
- Lộ dữ liệu nhạy cảm: Các giá trị mã hóa của bí mật như khóa API, mật khẩu cơ sở dữ liệu và mã thông báo mã hóa không được che giấu đúng cách, cho phép truy cập trái phép vào các dữ liệu nhạy cảm.
- Quản lý quyền truy cập dựa trên vai trò: Các phiên bản đã được sửa chữa thực thi quản lý quyền truy cập dựa trên vai trò, hạn chế khả năng nhìn thấy bí mật đã giải mã chỉ cho những người dùng có quyền cấu hình.
CVE-2025-27624: Lỗ hổng CSRF
Mô tả:
Lỗ hổng này cho phép chuyển đổi không được phép các widget của bảng bên (chẳng hạn như hàng đợi xây dựng) thông qua các yêu cầu HTTP độc hại. Kẻ tấn công có thể tiêm các ID bảng tùy ý vào hồ sơ người dùng, cho phép thao túng giao diện người dùng một cách liên tục.
Tác động:
- Cuộc tấn công CSRF: Lỗ hổng này gây ra rủi ro CSRF trong việc xử lý trạng thái widget của bảng bên trong Jenkins. Các liên kết độc hại có thể buộc người dùng đã xác thực chuyển đổi khả năng hiển thị widget thông qua các yêu cầu GET, điều này thiếu bảo vệ CSRF.
- Chỉnh sửa: Bản vá thực thi các yêu cầu POST cho các điểm cuối bảng bên, phù hợp với các thực tiễn bảo mật REST tốt nhất để ngăn chặn các cuộc tấn công CSRF.
CVE-2025-27625: Lỗ hổng chuyển hướng mở
Mô tả:
Lỗ hổng này cho phép các cuộc tấn công lừa đảo bằng cách giải thích các URL bắt đầu bằng dấu gạch chéo như những chuyển hướng hợp lệ. Trình duyệt sẽ giải quyết chúng như các đường dẫn dựa trên kiểu, bỏ qua danh sách an toàn URL của Jenkins.
Tác động:
- Các cuộc tấn công lừa đảo: Kẻ tấn công có thể thêm các dấu gạch chéo (
\) vào các URL, đánh lừa trình duyệt diễn giải chúng như các đường dẫn dựa trên kiểu. Điều này tạo điều kiện cho việc lừa đảo bằng cách chuyển hướng người dùng đến các miền độc hại dưới vỏ bọc của các liên kết nội bộ Jenkins. - Chỉnh sửa: Bản vá từ chối các chuyển hướng bắt đầu bằng dấu gạch chéo, phù hợp với các hướng dẫn ngăn chặn CSRF của OWASP và các tiêu chuẩn chuẩn hóa URI RFC 3986 để giảm thiểu rủi ro lừa đảo.
Khuyến nghị sửa chữa và nâng cấp
- Các phiên bản bị ảnh hưởng: Jenkins weekly ≤2.499 và LTS ≤2.492.1 đều bị ảnh hưởng.
- Các phiên bản đã sửa chữa: Nâng cấp lên Jenkins 2.500 (weekly) hoặc 2.492.2 (LTS) được khuyến nghị để giảm thiểu các rủi ro này.
- Giải pháp tạm thời: Đối với các môi trường yêu cầu vá lỗi muộn, các giải pháp tạm thời bao gồm việc thu hồi quyền không cần thiết và thực hiện các quy tắc proxy ngược để chặn các mẫu chuyển hướng độc hại.
Tóm tắt
Các lỗ hổng này nhấn mạnh tầm quan trọng của việc quét phụ thuộc liên tục trong các quy trình CI/CD và cần thiết phải quản lý vá lỗi chủ động và kiểm soát quyền truy cập tối thiểu để ngăn chặn việc rò rỉ thông tin xác thực và chiếm đoạt phiên trong các quy trình DevOps.
