Jenkinsの脆弱性(CVE-2026-53435)がサイバー攻撃へ悪用-PoCも公開中|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月17日更新日時: 2026年06月17日

Jenkins CVE-2026-53435（CVSS 8.8）が2026年6月10日公開後から数時間でハニーポットが攻撃を検知。config.xmlのデシリアライゼーション悪用でScript Consoleへの任意コード実行が可能。PoCも公開済み。CI/CDパイプラインへの影響大。Jenkins 2.568/LTS 2.555.3へ至急更新を。

Jenkinsプロジェクトは2026年6月10日、世界で最も広く使われるCI/CD（継続的インテグレーション/継続的デリバリー）自動化サーバー「Jenkins」のコアに存在するデシリアライゼーション脆弱性を修正したセキュリティアドバイザリ「Jenkins Security Advisory 2026-06-10」を公開しました。

この中で最も深刻な脆弱性であるCVE-2026-53435（SECURITY-3707、CVSS 8.8・HIGH）は、攻撃者が悪意あるconfig.xmlファイルを送信することでJenkinsコントローラーに任意の型をデシリアライズさせ、その後のHTTPリクエスト処理を乗っ取ることができる危険なものです。

攻撃が成功した場合、任意のユーザーを偽装してHTTPリクエストを送信すること・Jenkinsのスクリプトコンソールに到達して任意コードを実行すること・コントローラーから任意のファイルを読み取ることが可能になります。securityonline.infoおよびDefusedCyber（GBHackers確認）が報告している通り、CVE-2026-53435は開示から数時間以内にハニーポットで実際の攻撃が検知されており、公開されたPoCコードが攻撃の加速に拍車をかけています。Jenkinsは多くの組織のCI/CDパイプラインの中核に位置しており、侵害された場合はビルド成果物の改ざんやサプライチェーン攻撃の起点となるリスクがあります。本記事ではJenkins公式アドバイザリの内容・攻撃の技術的メカニズム・3件のCVEの詳細・緊急対応手順を解説します。

サマリー

公開日：2026年6月10日（Jenkins Security Advisory 2026-06-10）
積極的悪用確認：2026年6月15日——DefusedCyberハニーポットが開示から数時間以内に攻撃を検知。PoCコードが公開済みで攻撃が加速中
CVE-2026-53435（SECURITY-3707）：
- 深刻度：High（CVSS 8.8）
- CVSSベクトル：AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H（jenkins.io公式確認）
- 脆弱性種別：config.xmlのデシリアライゼーション悪用による任意コード実行（RCE）
- 影響：任意ユーザーの偽装・HTTPリクエスト送信・Script Console経由の任意コード実行・任意ファイル読み取り
- 攻撃条件：Overall/Read権限＋ユーザーアカウント（非匿名）またはconfig.xmlへのPOST権限（Item/Configure等）のいずれか
CVE-2026-53436（SECURITY-3711）：Medium——オープンリダイレクト（./や../による迂回）
CVE-2026-53437（SECURITY-3755）：Medium——オープンリダイレクト（タブ・改行文字による迂回）
CVE-2026-53438（SECURITY-3712）：Medium——パーミッションチェック欠如（キューアイテム取消し）
影響バージョン：Jenkins 2.567以前・LTS 2.555.2以前
修正版：Jenkins 2.568（週次）・LTS 2.555.3
発見経路：Jenkins Bug Bounty Program（欧州委員会スポンサー/YesWeHack）経由
攻撃元IP（確認済み）：194.247.182.44（AS57043/HOSTKEY B.V.・オランダ拠点）

1 CVE-2026-53435の技術的詳細——なぜ危険なのか
2 積極的な悪用の状況
3 CI/CDパイプラインへの影響——サプライチェーン攻撃の起点
4 同一アドバイザリに含まれる他の3件のCVE
5 緊急対応手順
6 FAQ
7 参考情報

CVE-2026-53435の技術的詳細——なぜ危険なのか

Jenkinsのデシリアライゼーションアーキテクチャの背景

JenkinsはRemoting ライブラリ（エージェント/コントローラー間通信）やXStream（設定・ビルドデータの保存/読み込み）など複数の場所でJavaシリアライゼーション・デシリアライゼーションを使用しています。

一般的なデシリアライゼーション脆弱性から保護するため、JenkinsはJEP-200に基づくカスタムデシリアライゼーションフィルターを使用しており、Jenkinsコアまたはプラグインで定義された型のみ、または明示的に許可された型のみをデシリアライズするよう制限しています。

Jenkinsのウェブフレームワーク「Stapler」はHTTPリクエスト処理にリフレクションアクセスを使用しており、2018年以降はJenkinsコアまたはプラグインで定義された型のみにリクエストルーティングを制限しています。

脆弱性のメカニズム（Jenkins公式アドバイザリより）

Jenkins 2.567以前・LTS 2.555.2以前において、攻撃者が送信したconfig.xmlから攻撃者が制御する型を任意でデシリアライズさせ、その後のHTTPリクエスト処理を可能にするという欠陥があります。

攻撃の流れ：

攻撃者がJenkinsコアまたはプラグインで定義された任意の型を含む悪意あるconfig.xmlを送信
Jenkinsサーバーがこれらの型をデシリアライズ（カスタムフィルターの想定外の型が通過）
デシリアライズされた型のクラスの#readResolveメソッドまたはStaplerのルーティングを悪用してHTTPリクエスト処理を乗っ取り
以下の攻撃が可能になります：
- 任意ユーザーの偽装：管理者を含む任意ユーザーになりすましてHTTPリクエストを送信
- Script Console（スクリプトコンソール）への到達：Groovyスクリプトを実行して任意コードをJenkinsコントローラー上で実行
- 任意ファイルの読み取り：秘密鍵・認証情報・設定ファイルを含む任意のファイルをコントローラーから取得

公式アドバイザリは「これらの攻撃方法は網羅的なものではなく、他にも悪用方法が存在する可能性がある」と明示しています。

攻撃に必要な権限（条件）

攻撃者には以下の条件が必要です。

Overall/Read権限（必須）
さらに以下のいずれか：
- ユーザーアカウント（非匿名）：匿名アクセスが可能なJenkins環境ではアカウントなしに攻撃可能
- config.xmlへのPOST権限のいずれか：Item/Configure・View/Configure・Agent/Configure など

つまり、Jenkinsに有効なユーザーアカウントを持っているか、または匿名アクセスが有効でOverall/Readが付与されている場合に攻撃が成立します。「信頼されない開発者」や「外部パートナー」がJenkinsにアクセスできる環境は特にリスクが高くなります。

修正内容

Jenkins 2.568・LTS 2.555.3は、「影響を受けるデシリアライゼーションで許可される型を期待される型のみに制限する」という修正が適用されています。

積極的な悪用の状況

開示から数時間でハニーポットが攻撃を検知

脅威インテリジェンス企業DefusedCyberはCVE-2026-53435の開示（6月10日）から数時間以内にハニーポットで実際の攻撃試行の記録を開始しました。DefusedCyberはX（旧Twitter）でこれらのハニーポット観測内容を公開しています。

GBHackersの報告によれば「攻撃者は自動化されたスキャンと悪用技術を使用して、公開されているJenkinsインスタンスを標的にしており、デシリアライゼーションの弱点を活用してネットワーク内へ初期アクセスを獲得しようとしている」とされています。

PoCの公開が攻撃を加速

cyberpress.org（rankiteo確認）によれば「公開されたPoC（Proof of Concept：実証コード）が悪用の加速に拍車をかけており、攻撃ウィンドウを拡大している」とされています。PoCの公開は「技術スキルの低い攻撃者でも攻撃を試みられる」状態を意味します。

確認された攻撃元IP

rankiteo.comの分析によれば、攻撃トラフィックはIPアドレス194.247.182.44（AS57043/HOSTKEY B.V.、オランダ拠点・脅威アクターに頻繁に悪用されるホスティングプロバイダー）から観測されています。このIPはブロックリストへの追加を検討してください。

CI/CDパイプラインへの影響——サプライチェーン攻撃の起点

Jenkinsが多くの組織のCI/CDパイプラインの中核に位置していることを考えると、CVE-2026-53435の悪用影響はJenkinsコントローラー単体の侵害にとどまりません。

Script Consoleへの任意コード実行が可能になると：

ビルドスクリプトやパイプラインコードの改ざん
ビルド成果物（アーティファクト）へのマルウェアの埋め込み
Jenkinsのクレデンシャルストアへのアクセスによるクラウドプロバイダー認証情報・APIキー・秘密鍵の窃取
ビルドサーバーを踏み台にした内部ネットワークへの横移動（ラテラルムーブメント）

SolarWinds・Codecovをはじめとする過去の重大なサプライチェーン攻撃がCI/CDパイプラインを起点としていたように、Jenkinsコントローラーの侵害は「ソフトウェアサプライチェーン全体」に波及するリスクを持っています。

同一アドバイザリに含まれる他の3件のCVE

CVE	SECURITY	深刻度	内容
CVE-2026-53436	SECURITY-3711	Medium	オープンリダイレクト（`./`や`../`を含むURL）：`./`や`../`を含むURLがサーブレットコンテナで`//`から始まるプロトコル相対URLに折りたたまれ、攻撃者管理ドメインへのリダイレクトが可能
CVE-2026-53437	SECURITY-3755	Medium	オープンリダイレクト（タブ・改行文字）：`//`のチェック時にタブ・改行文字を無視しないため、`/\t/` または `/\n/`の形式でURLフィルターを迂回し攻撃者管理ドメインへリダイレクト可能
CVE-2026-53438	SECURITY-3712	Medium	パーミッションチェック欠如：キューアイテムのキャンセルAPIにおけるパーミッションチェックの不備

CVE-2026-53436とCVE-2026-53437はCVE-2026-53435と比べて深刻度は低いですが、フィッシング攻撃への悪用が懸念されます（正規のJenkinsドメインからの見かけ上のリダイレクトを利用した認証情報フィッシング等）。

緊急対応手順

【最優先】Jenkins 2.568またはLTS 2.555.3へのアップデート

今すぐ対応すべき唯一の根本的解決策はアップデートです。

# Jenkinsのバージョン確認（CLIから）
java -jar jenkins-cli.jar -s http://localhost:8080/ version

# または Jenkins管理UI > Jenkinsの管理 > システム情報 でバージョン確認

バージョンが 2.567以前（週次）または LTS 2.555.2以前 の場合は即時アップデートが必要です。

【緊急回避策】パッチ適用が即時困難な場合

アップデートを即時適用できない場合の一時的な緩和策：

①config.xmlエンドポイントへのアクセス制限

# Nginx リバースプロキシ設定例
location ~ /job/[^/]*/config.xml {
    deny all;
    return 403;
}

②匿名アクセスの無効化： Jenkins管理 > セキュリティ → 匿名ユーザーに任意のアクセスを許可しない設定を確認

③Script Consoleの監視強化： Jenkinsのシステムログ（jenkins.log）でScript Consoleへのアクセスをモニタリングし、予期しない実行を検知してください

④ユーザーアカウントの棚卸し：不要なアカウント・Item/Configure権限を持つアカウントを確認・削除

【IOCブロック】確認された攻撃元IP

以下のIPからのアクセスをブロックしてください（rankiteo確認）：

194.247.182.44（AS57043/HOSTKEY B.V.、オランダ）

FAQ

Q. Jenkinsが外部に公開されていない場合も影響を受けますか？ A. 内部ネットワーク限定のJenkinsであっても、内部ユーザーや悪意あるインサイダーによる攻撃リスクがあります。攻撃にはユーザーアカウントと一定の権限が必要なため、アクセスを制限された内部環境では外部公開に比べリスクは低くなりますが、アップデートは必須です。

Q. Jenkinsのプラグインのみをアップデートすれば対応できますか？ A. いいえ。CVE-2026-53435はJenkinsコア（core）の脆弱性です。プラグインのアップデートでは対応できません。Jenkinsコア本体を2.568または2.555.3にアップデートする必要があります。

Q. LTS版とweekly版はどちらに更新すればよいですか？ A. 既存の運用方針に従ってください。LTS（Long Term Support）版を使用している場合はLTS 2.555.3へ、週次版を使用している場合は2.568へアップデートしてください。