概要
Jenkins は CI/CD パイプラインの構築に広く利用されている自動化サーバーです。Credentials Binding Plugin は Jenkins のジョブ実行時にクレデンシャル(認証情報)をファイルや環境変数としてバインドするための公式プラグインで、多くの Jenkins 環境で使用されています。
この脆弱性は、ファイルクレデンシャルおよび ZIP ファイルクレデンシャルのファイル名に対するサニタイズ処理の不備に起因します。クレデンシャルのファイル名にパストラバーサル文字列(例: ../)が含まれている場合、ジョブ実行時にノードのファイルシステム上の意図しない場所にファイルが書き込まれる可能性があります。
特にビルトインノード(Jenkins コントローラー)上でジョブが実行される設定の場合、Jenkins コントローラーのファイルシステムに対して任意のファイル書き込みが可能となり、リモートコード実行に繋がるリスクがあります。Jenkins を運用している場合は Credentials Binding Plugin を最新版へアップデートし、ジョブの実行ノードの設定を見直してください。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-22 (パストラバーサル) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 低(ジョブ設定権限) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Credentials Binding Plugin | Jenkins | 719.v80e905ef14eb_ 以前 |
修正バージョンと回避策
- Jenkins Credentials Binding Plugin を最新版へアップデートしてください
- ビルトインノード上でのジョブ実行を制限し、専用のエージェントノードでジョブを実行する設定を推奨します
- クレデンシャルのファイル名に不審な文字列が含まれていないか確認してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。