Multiple Jenkins Vulnerabilities Allow Attackers to Expose Secrets
Multiple Jenkins Vulnerabilities Allow Attackers to Expose Secrets
The flaws—tracked as CVE-2025-27622 through CVE-2025-27625—impact secrets management, cross-site request forgery (CSRF) protections.
gbhackers.com
- 비밀 정보 노출 취약점(CVE-2025-27622, CVE-2025-27623)
- Jenkins의
agent및view구성 파일(config.xml)에서 암호화된 비밀 정보를 API 또는 CLI를 통해 노출 가능 - 공격자는
Agent/Extended Read또는View/Read권한만으로 암호화된 비밀 값을 평문으로 확인 가능 - 해당 취약점은 과거 보완된 SECURITY-266(2016)의 회귀(regression)로 확인됨
- Jenkins 2.500 및 2.492.2(LTS)에서 Configure 권한 보유 사용자만 비밀 값을 조회할 수 있도록 수정됨
- Jenkins의
- CSRF 및 오픈 리디렉션 취약점(CVE-2025-27624, CVE-2025-27625)
- CSRF 취약점은 악의적인 HTTP 요청을 통해 UI 사이드패널 위젯(예: Build Queue)을 비인가로 조작 가능
- 공격자는 임의의 패널 ID를 사용자 프로필에 주입해 UI 지속 조작 가능
- 오픈 리디렉션 취약점은 백슬래시() 기반 URL 해석 오류로 피싱 공격 가능
- 예:
\example.com형태를 브라우저가 유효한 상대경로 URL로 처리함으로써 URL 화이트리스트 우회
- 예:
- 패치에서는 사이드패널 엔드포인트에 POST 요청 필수화, 리디렉션 경로는 정규표현식 기반 허용 목록 검증 도입
- CSRF 취약점은 악의적인 HTTP 요청을 통해 UI 사이드패널 위젯(예: Build Queue)을 비인가로 조작 가능
- 보안 권고
- 영향을 받는 버전: Jenkins 주간 릴리즈 ≤ 2.499, LTS 릴리즈 ≤ 2.492.1
- 보안 패치 포함 버전: 2.500(주간), 2.492.2(LTS)
- REST 및 CLI 인터페이스에서 비밀값 강력히 마스킹
- HTTP 메서드 제약 강화로 CSRF 방지
- URI 리디렉션 경로 정규화 처리 강화
- 관리자 권고사항
- 즉시 최신 버전으로 업그레이드
Read,Extended Read권한을 갖는 사용자 권한 재점검- 긴급 패치가 어려운 경우, 리버스 프록시를 활용한 리디렉션 패턴 차단 및 권한 축소
- 결론
- Jenkins는 소프트웨어 개발의 CI/CD 환경에서 중심적인 역할을 수행하기 때문에 설정 오류 및 보안 취약점이 고위험으로 이어질 수 있음
- 특히 암호화된 비밀 정보의 노출은 자격 증명 탈취, 세션 하이재킹, 공급망 침해로 이어질 수 있음
- Jenkins 사용자 조직은 정기적인 취약점 스캐닝, 접근 제어 정책 재검토, 보안 패치 주기 준수가 필수적임
'Kant's IT > Vulnerability' 카테고리의 다른 글
| 4,300만 건 이상 설치된 Python 패키지에서 원격 코드 실행 취약점 발견 (CVE-2025-27607) (0) | 2025.04.12 |
|---|---|
| Apache Pinot 인증 우회 취약점(CVE-2024-56325) 분석 (0) | 2025.04.12 |
| Mirai 기반 봇넷, Edimax IP 카메라 제로데이 취약점(CVE-2025-1316) 악용 분석 (0) | 2025.04.12 |
| 일본 대상 PHP-CGI 원격코드실행 취약점 악용 공격 분석 (0) | 2025.04.12 |
| LibreOffice 매크로 URL 취약점(CVE-2025-1080) 악용 가능성 분석 (0) | 2025.04.12 |