つみかさね

CVE-2026-33002

High(7.5)

CVE-2026-33002 — Jenkins CLI WebSocketエンドポイントのDNSリバインディング

公開日: 2026-03-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
JenkinsJenkins project2.442 〜 2.554 / LTS 2.426.3 〜 2.541.2
CVEJenkinsDNSリバインディングWebSocket

概要

Jenkins の CLI WebSocket エンドポイント に おいて、DNS リバインディング 攻撃 に 対する 保護 が 不十分 な 脆弱性 が 存在 します。CWE-350(IPアドレスまたはDNS名の逆引きに対する依存)に 分類 されます。

この 脆弱性 に より、攻撃者 が DNS リバインディング を 利用 して Jenkins の CLI WebSocket エンドポイント に アクセス し、認証 を バイパス して コマンド を 実行 する 可能性 が あります。Jenkins を 運用 して いる 環境 で は、速やか に 修正 バージョン へ の アップデート を 推奨 します。

CVSSベクトル

項目
CVSSスコア7.5 (High)
CWECWE-350(IPアドレスまたはDNS名の逆引きに対する依存)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限不要
ユーザー操作不要

影響を受けるソフトウェア

  • Jenkins(2.442 〜 2.554)
  • Jenkins LTS(2.426.3 〜 2.541.2)

修正バージョンと回避策

  • 修正バージョン: Jenkins 2.555 以降 / LTS 2.541.3 以降
  • 暫定回避策: WebSocket CLI エンドポイント を 無効化。リバースプロキシ で Host ヘッダー の 検証 を 強化

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33002
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。