1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Jenkins、複数プラグインの深刻な脆弱性を修正(CVE-2025-47889,CVE-2025-47884,CVE-2025-47885)

Jenkins、複数プラグインの深刻な脆弱性を修正(CVE-2025-47889,CVE-2025-47884,CVE-2025-47885)

セキュリティニュース

投稿日時: 更新日時:

Jenkins複数プラグインの深刻な脆弱性を修正(CVE-2025-47889,CVE-2025-47884,CVE-2025-47885)

継続的インテグレーション/デリバリの主要ツールとして利用されるJenkinsにおいて、複数のプラグインに深刻な脆弱性が存在することが、2025年5月14日に公開された公式セキュリティアドバイザリによって明らかになりました。

中でもOpenID Connect Provider PluginWSO2 Oauth Pluginに関する欠陥は、CVSSスコア9.1~9.8の「クリティカル」レベルで、即時の対応が求められています。

CVE-2025-47889:WSO2 Oauth Pluginに認証バイパス(CVSS 9.8)

最大の脅威は、WSO2 Oauth Plugin(v1.0および以前)に存在する認証バイパスの脆弱性(CVE-2025-47889)です。この問題により、攻撃者は任意のユーザー名・パスワードを使ってログインできてしまうという深刻な事態が発生します。

構成によっては、こうして侵入したユーザーが管理者権限を取得できる可能性もあり、完全なコントロール権を奪われる恐れがあります。現時点で修正は提供されておらず、該当プラグインの即時停止または削除が推奨されます。

CVE-2025-47884:OpenID Connect Provider PluginでビルドIDトークン偽装(CVSS 9.1)

次に危険性が高いのは、OpenID Connect Provider PluginにおけるビルドIDトークンの生成処理に関する脆弱性(CVE-2025-47884)です。

トークン生成に使用される環境変数(JOB_URLなど)が、Environment Injector Pluginなどの影響で任意に上書き可能であるため、信頼されたジョブを装ったトークンの生成が可能となります。これにより、外部サービスへの不正アクセスや権限の誤認が発生する恐れがあります。

修正済みバージョン:v111.v29fd614b_3617

CVE-2025-47885:Health Advisor by CloudBees PluginにXSS(CVSS 8.8)

Health Advisor by CloudBees Pluginでは、Health Advisorサーバーからのレスポンスの未エスケープ処理が原因で永続的なXSS(クロスサイトスクリプティング)が可能となります。

攻撃者が不正なレスポンスを挿入できる環境では、悪意あるJavaScriptが永続的に埋め込まれ、ユーザーのセッション乗っ取りなどにつながる可能性があります。

修正済みバージョン:v374.376.v3a_41a_a_142efe

Cadence vManager Plugin:CSRFと認可不備(CVSS 6.5)

Cadence vManager Pluginでは、フォームバリデーション処理におけるPOSTリクエストの未使用認可チェックの欠如により、攻撃者が意図したURLへ接続するように仕向けることが可能です。

修正済みバージョン:v4.0.1-288.v8804b_ea_a_cb_7f

CVE-2025-47888:DingTalk PluginのTLS検証が無効化(CVSS 6.5)

DingTalk Plugin(v2.7.3以前)では、TLS証明書およびホスト名の検証が完全に無効化されており、中間者攻撃(MITM)のリスクがあります。こちらも現時点で修正パッチは未提供です。

推奨される対応

  • アップデート推奨

    • OpenID Connect Provider Plugin → v111.v29fd614b_3617

    • Health Advisor by CloudBees Plugin → v374.376.v3a_41a_a_142efe

    • Cadence vManager Plugin → v4.0.1-288.v8804b_ea_a_cb_7f

  • 使用中止または隔離推奨

    • WSO2 Oauth Plugin(修正なし)

    • DingTalk Plugin(修正なし)

Jenkinsを使用している開発・運用チームは、これらのプラグインの利用状況を即時確認し、該当バージョンのアップデートまたは無効化を早急に実施する必要があります。

関連記事

Googleでサインインの欠陥により、数百万人のユーザーの個人情報が漏洩Googleでサインインの欠陥により、数百万人のユーザーの個人情報が漏洩 Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467)Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467) NEC「Aterm」シリーズのWifi ルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性もNEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も 生成AIで安全対策が突破される脆弱性を発見主要なLLMに有効なプロンプト インジェクション「Policy Puppetry」-サイバー攻撃への悪用が容易 Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正 WordPressの人気プラグイン「LiteSpeed Cache」で危険度の高い脆弱性(CVE-2024-50550)WordPressの人気プラグイン「LiteSpeed Cache」で危険度の高い脆弱性(CVE-2024-50550) WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「LiteSpeed Cache」で重大な脆弱性が発生(CVE-2023-40000) WordPressのカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 )WordPressのカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 ) WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「Forminator」で複数の脆弱性が発生