ช่องโหว่ใน Jenkins Plugins หลายรายการเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้าถึงข้อมูลสำคัญ

1 July 2568
17
Jenkins เปิดเผยช่องโหว่ด้านความปลอดภัยหลายรายการที่ส่งผลกระทบทั้ง Jenkins core และ Plugins ต่างๆ ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลสำคัญและรันโค้ดในระบบที่ได้รับผลกระทบ ช่องโหว่ที่ร้ายแรงที่สุดคือใน Templating Engine Plugin (CVE-2025-31722) โดยพบว่า Plugins นี้ในเวอร์ชัน 2.5.3 และเวอร์ชันก่อนหน้าไม่ได้มีการป้องกัน sandbox อย่างถูกต้อง ทำให้ผู้ไม่ประสงค์ดีที่มีสิทธิ์ Item/Configure สามารถรันโค้ดใน Jenkins controller JVM ได้ ซึ่งเสี่ยงต่อการโจมตีระบบทั้งหมด นอกจากนี้ยังมีช่องโหว่ระดับกลางใน Jenkins core (CVE-2025-31720และ CVE-2025-31721) ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถข้ามการตรวจสอบสิทธิ์และเข้าถึงการตั้งค่า agent และ encrypted secrets ได้หลาย Plugins ยังมีปัญหาการเก็บข้อมูลสำคัญในรูปแบบ plain text เช่น Cadence vManager Plugin (CVE-2025-31724) , Monitor-Remote-Job Plugin (CVE-2025-31725) , Stack Hammer Plugin (CVE-2025-31726) , AsakusaSatellite Plugin (CVE-2025-31727, CVE-2025-31728) ช่องโหว่เหล่านี้ทำให้ข้อมูลสำคัญถูกเปิดเผยให้กับผู้ใช้ที่มีสิทธิ์ Item/Extended Read หรือผู้ที่เข้าถึงไฟล์ระบบของ Jenkins ได้ คำแนะนำ: - ควรอัปเกรด Jenkins ให้เป็นเวอร์ชันล่าสุด (สำหรับผู้ใช้ Jenkins weekly เป็นเวอร์ชัน 2.504 และ LTS เป็นเวอร์ชัน 2.492.3) และอัปเดต Plugins ที่มีการแก้ไขแล้ว เช่น Cadence vManager Plugin, Simple Queue Plugin, และ Templating Engine Plugin - ควรหลีกเลี่ยงการเก็บข้อมูลสำคัญ เช่น API keys หรือ credentials ในรูปแบบ plain text โดยใช้การเข้ารหัสและการจัดเก็บที่ปลอดภัย - ควรจำกัดการเข้าถึง Jenkins และ Plugins โดยกำหนดสิทธิ์การใช้งานที่เหมาะสม ตรวจสอบให้แน่ใจว่ามี การตรวจสอบสิทธิ์ที่เข้มงวดในจุดที่สำคัญและทำการตรวจสอบการใช้งานปลั๊กอินอย่างสม่ำเสมอ

Jenkins เปิดเผยช่องโหว่ด้านความปลอดภัยหลายรายการที่ส่งผลกระทบทั้ง Jenkins core และ Plugins ต่างๆ ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลสำคัญและรันโค้ดในระบบที่ได้รับผลกระทบ ช่องโหว่ที่ร้ายแรงที่สุดคือใน Templating Engine Plugin (CVE-2025-31722) โดยพบว่า Plugins นี้ในเวอร์ชัน 2.5.3 และเวอร์ชันก่อนหน้าไม่ได้มีการป้องกัน sandbox อย่างถูกต้อง ทำให้ผู้ไม่ประสงค์ดีที่มีสิทธิ์ Item/Configure สามารถรันโค้ดใน Jenkins controller JVM ได้ ซึ่งเสี่ยงต่อการโจมตีระบบทั้งหมด นอกจากนี้ยังมีช่องโหว่ระดับกลางใน Jenkins core (CVE-2025-31720และ CVE-2025-31721) ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถข้ามการตรวจสอบสิทธิ์และเข้าถึงการตั้งค่า agent และ encrypted secrets ได้หลาย Plugins ยังมีปัญหาการเก็บข้อมูลสำคัญในรูปแบบ plain text เช่น Cadence vManager Plugin (CVE-2025-31724) , Monitor-Remote-Job Plugin (CVE-2025-31725) , Stack Hammer Plugin (CVE-2025-31726) , AsakusaSatellite Plugin (CVE-2025-31727, CVE-2025-31728) ช่องโหว่เหล่านี้ทำให้ข้อมูลสำคัญถูกเปิดเผยให้กับผู้ใช้ที่มีสิทธิ์ Item/Extended Read หรือผู้ที่เข้าถึงไฟล์ระบบของ Jenkins ได้

คำแนะนำ:

  • ควรอัปเกรด Jenkins ให้เป็นเวอร์ชันล่าสุด (สำหรับผู้ใช้ Jenkins weekly เป็นเวอร์ชัน 504 และ LTS เป็นเวอร์ชัน 2.492.3) และอัปเดต Plugins ที่มีการแก้ไขแล้ว
    เช่น Cadence vManager Plugin, Simple Queue Plugin, และ Templating Engine Plugin
  • ควรหลีกเลี่ยงการเก็บข้อมูลสำคัญ เช่น API keys หรือ credentials ในรูปแบบ plain text โดยใช้การเข้ารหัสและการจัดเก็บที่ปลอดภัย

ควรจำกัดการเข้าถึง Jenkins และ Plugins โดยกำหนดสิทธิ์การใช้งานที่เหมาะสม ตรวจสอบให้แน่ใจว่ามี
การตรวจสอบสิทธิ์ที่เข้มงวดในจุดที่สำคัญและทำการตรวจสอบการใช้งานปลั๊กอินอย่างสม่ำเสมอ