30秒で判断
対応すべき人:
- Jenkins で Script Security Plugin を利用している環境
- Pipeline スクリプトや Groovy スクリプトをユーザーが提供できる権限設定になっている環境
対応不要な人:
- Jenkins を利用していない環境
- スクリプトを提供できるユーザーが完全に信頼できる管理者のみの環境(ただし更新は推奨)
確認コマンド:
# Jenkinsプラグインバージョン確認(Jenkins CLIが使える場合)
java -jar jenkins-cli.jar -s http://localhost:8080/ list-plugins | grep script-security
概要
Jenkins の Script Security Plugin は、Groovy スクリプトをサンドボックス環境で実行し、無認可の操作やシステムアクセスを防ぐためのプラグインです。Declarative Pipeline や Scripted Pipeline で広く利用されています。
CVE-2026-57280 では、typed for-each ループ内の暗黙的型キャストがサンドボックスのインターセプトから漏れる欠陥が報告されています。
通常、サンドボックスはすべての危険な操作をインターセプトして承認なしの実行を防ぎますが、この脆弱性を利用することで攻撃者は任意のコンストラクタを呼び出し、サンドボックス保護を回避できます。スクリプト提供権限を持つユーザー(Developer等)が悪意あるGroovyスクリプトを提出することで悪用可能です。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| Attack Vector (AV) | N(Network) | Webインターフェース経由 |
| Attack Complexity (AC) | L(Low) | 特別な条件不要 |
| Privileges Required (PR) | L(Low) | スクリプト提供権限が必要 |
| User Interaction (UI) | N(None) | ユーザー操作不要 |
| Scope (S) | C(Changed) | Jenkinsサーバーシステムに影響 |
| Confidentiality (C) | H(High) | 機密情報漏洩の可能性 |
| Integrity (I) | H(High) | データ改ざん可能 |
| Availability (A) | H(High) | サービス停止可能 |
CVSSスコア: 8.8 (High)
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| Jenkins Script Security Plugin | 1402.v94c9ce464861 以前 |
修正バージョンと回避策
修正: Jenkins Plugin Manager から Script Security Plugin を最新バージョンにアップデートしてください。
Jenkins管理画面 → 「プラグインの管理」 → 「利用可能な更新」 → Script Security Plugin を更新
回避策(更新が困難な場合):
- スクリプト提供権限を最小限の信頼できるユーザーのみに制限する
- Pipeline スクリプトをすべてリポジトリで管理し、承認フローを通じてのみ変更を許可する
関連リンク
データソース: NVD (NIST), Jenkins Security
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。