継続的インテグレーション/デリバリ(CI/CD)で広く利用されている Jenkins において、Gatlingプラグインに深刻なセキュリティ脆弱性が確認されました。Jenkins公式は2025年6月6日付で、影響範囲と対策を含むセキュリティアドバイザリを公表しています。
この脆弱性は「CVE-2025-5806」として追跡されており、深刻度は“High(高)”。報告によれば、Gatling Pluginの最新版(バージョン 136.vb_9009b_3d33a_e)において、Jenkins本体が備えるContent-Security-Policy(CSP)の保護を迂回する問題があるとのことです。CSPはクロスサイトスクリプティング(XSS)などの攻撃を防ぐために不可欠なウェブセキュリティ機構であり、これが機能しない状態は重大なリスクを伴います。
攻撃条件と影響
問題となっているのは、Gatling Pluginが生成するレポートの表示方法です。Jenkins本体ではバージョン1.641以降でCSPによる保護が導入されていますが、このプラグインはその保護をバイパスする形でレポートを配信します。
攻撃者がレポート内容を任意に変更可能な立場にある場合、悪意のあるJavaScriptコードを注入し、他のユーザーがそのレポートを閲覧する際にスクリプトが実行されるというXSS攻撃が成立する可能性があります。
影響としては、セッションハイジャックや機密情報へのアクセス、CI/CDプロセスの改ざんなどが懸念されます。
修正パッチは未提供、推奨はダウングレード
さらに問題を深刻化させているのは、現時点で本脆弱性に対する修正パッチが提供されていないという点です。Jenkinsセキュリティチームは、「当該バージョンには修正はなく、今後の予定も未定」と明記しており、当面の対処としてGatling Pluginのバージョン1.3.0へのダウングレードが推奨されています。
バージョン1.3.0以前は問題のコードを含んでおらず、安全性が確認されています。ただし、機能面での後退を伴うため、利用中のパイプラインへの影響については事前の確認が必要です。
一部参照
https://www.jenkins.io/security/advisory/2025-06-06/
関連記事
Jenkins の脆弱性がランサムウェア 攻撃に悪用(CVE-2024-23897)
JenkinsのDockerイメージにSSHホストキー再利用の脆弱性(CVE-2025-32754,CVE-2025-32755)
Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正
Jenkinsの脆弱性(CVE-2024-43044)を悪用するPOCのエクスプロイトコードが公開
Jenkins、複数プラグインの深刻な脆弱性を修正(CVE-2025-47889,CVE-2025-47884,CVE-2025-47885)
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
GitHub Actionの「tj-actions/changed-files」が侵害される脆弱性(CVE-2025-30066)
Google Chromeの定例アップデートで深刻な脆弱性(CVE-2025-4664)を修正、既に悪用確認済み-最新版への即時アップデートを推奨
GitHub Actionの tj-actions/changed-files の脆弱性がサプライチェーン攻撃に悪用される可能性(CVE-2025-30066)
