Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正

Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正しました(CVE-2025-27622,CVE-2025-27623,CVE-2025-27624, CVE-2025-27625)

脆弱性の影響を受けるバージョン

• Jenkins 2.499 以前のバージョン
• LTS 2.492.1 以前のバージョン

脆弱性の対策バージョン

以下バージョンで今回の全ての脆弱性に対応

• Jenkins 2.500
• LTS 2.492.2

CVE-2025-27622：エージェント構成に保存された暗号化されたシークレットの漏えい

深刻度（CVSS）：中

Jenkins 2.499 以前および LTS 2.492.1 以前のバージョンでは、REST API または CLI を経由してエージェント構成にアクセスする際に、暗号化されたシークレットを適切に編集できないという問題があります。

このため、「Agent/Extended Read」権限を持つ攻撃者が、暗号化されたシークレットの値を閲覧できるリスクがあります。

CVE-2025-27623：ビュー設定に保存されたシークレットの漏えい

深刻度（CVSS）：中

同様の脆弱性であるCVE-2025-27623は、ビュー設定に影響を及ぼし、「View/Read」権限を持つ攻撃者が暗号化されたシークレットの値を閲覧できる可能性があります。

CVE-2025-27624：クロスサイトリクエストフォージェリ（CSRF）の脆弱性

深刻度（CVSS）：中

Jenkins 2.500 未満および LTS 2.492.2 未満のバージョンでは、CSRF脆弱性（CVE-2025-27624）が存在します。

この脆弱性を悪用されると、攻撃者はユーザーにサイドパネルウィジェットの折りたたみ/展開状態を切り替えさせることができ、さらに被害者のユーザープロファイルに攻撃者が制御するコンテンツを保存する可能性があります。

CVE-2025-27625：オープンリダイレクトの脆弱性

深刻度（CVSS）：中

このセキュリティ勧告では、オープンリダイレクトの脆弱性（CVE-2025-27625）にも言及しています。この欠陥を悪用すると、攻撃者がフィッシング攻撃を実行する可能性があります。