Người dùng máy chủ tự động hóa Jenkins đang đối mặt với các mối đe dọa bảo mật nghiêm trọng sau khi 14 lỗ hổng CVE Jenkins riêng biệt được công bố, ảnh hưởng đến nhiều plugin khác nhau. Bản tư vấn bảo mật này là một cảnh báo CVE quan trọng, tiết lộ một loạt các cơ chế bỏ qua xác thực, thiếu kiểm soát quyền và vấn đề lộ thông tin xác thực, tất cả đều đặt cơ sở hạ tầng CI/CD doanh nghiệp vào nguy cơ đáng kể.

Phân Tích Các Lỗ Hổng CVE Jenkins Trọng Yếu

CVE-2025-64131: Lỗ hổng Replay Attack trong SAML Plugin

Lỗ hổng nghiêm trọng nhất xuất phát từ plugin SAML, được theo dõi là CVE-2025-64131 với điểm CVSS cao là 8.4. Plugin này đã không triển khai bộ đệm replay (replay cache) trong các phiên bản 4.583.vc68232f7018a và cũ hơn.

Thiếu sót này cho phép kẻ tấn công chặn và phát lại các yêu cầu xác thực SAML giữa trình duyệt web của người dùng và Jenkins. Việc bỏ qua xác thực này cấp cho kẻ tấn công quyền truy cập hoàn toàn vào các tài khoản người dùng hợp pháp mà không cần thông tin đăng nhập hợp lệ. Cơ chế này đặc biệt nguy hiểm vì nó cho phép tái sử dụng các phiên đã được xác thực.

Để thực hiện cuộc tấn công, kẻ tấn công cần thu thập thông tin về luồng xác thực SAML. Một khi dữ liệu này được nắm bắt, các yêu cầu được phát lại sẽ xác thực chúng như những người dùng đã tồn tại. Jenkins đã khắc phục lỗ hổng quan trọng này bằng cách triển khai tính năng bảo vệ bộ đệm replay thích hợp trong phiên bản 4.583.585.v22ccc1139f55, khiến việc cập nhật ngay lập tức trở nên thiết yếu cho các triển khai bị ảnh hưởng bởi lỗ hổng CVE Jenkins này.

CVE-2025-64140: Thực Thi Lệnh Tùy ý Qua Azure CLI Plugin

CVE-2025-64140 trong Azure CLI Plugin là một lỗ hổng nghiêm trọng khác, với điểm CVSS lên tới 8.8. Lỗ hổng này được xếp vào loại có mức độ rủi ro cao nhất, cho phép kẻ tấn công thực hiện các hành vi gây hại đáng kể đối với hệ thống.

Plugin này không giới hạn việc thực thi các lệnh shell trên Jenkins controller. Điều này có nghĩa là những kẻ tấn công có quyền Item/Configure có thể thực thi các lệnh hệ thống tùy ý. Khả năng chiếm quyền điều khiển thông qua việc thực thi mã từ xa này có thể dẫn đến việc xâm nhập hoàn toàn hệ thống Jenkins.

Tác động của lỗ hổng CVE Jenkins nghiêm trọng này rất lớn, có thể bao gồm việc cài đặt phần mềm độc hại, truy cập dữ liệu nhạy cảm hoặc thay đổi cấu hình hệ thống, từ đó ảnh hưởng nghiêm trọng đến toàn bộ quy trình CI/CD. Việc khai thác thành công có thể cung cấp cho kẻ tấn công quyền kiểm soát đầy đủ đối với máy chủ Jenkins và các tài nguyên liên quan.

CVE-2025-64132: Lỗi Ủy quyền trong MCP Server Plugin

Plugin MCP Server chứa nhiều lỗi ủy quyền trong phiên bản 0.84.v50ca_24ef83f2 và cũ hơn, được đánh giá là mức độ nghiêm trọng trung bình. Plugin này không thực hiện kiểm tra quyền đầy đủ trên một số công cụ, tạo ra các con đường cho việc leo thang đặc quyền trong hệ thống Jenkins.

Kẻ tấn công chỉ với quyền Item/Read cơ bản có thể lấy thông tin nhạy cảm về các hệ thống kiểm soát nguồn (source control systems) đã cấu hình, mặc dù không có quyền Item/Extended Read cao hơn. Nghiêm trọng hơn, cùng với quyền truy cập cấp thấp này, kẻ tấn công có thể kích hoạt các bản build mới của các job được bảo vệ mà không cần quyền Item/Build.

Ngoài ra, các lỗ hổng xác thực bổ sung cho phép người dùng chưa được xác thực, thiếu quyền Overall/Read, truy xuất tên của các đám mây (clouds) đã cấu hình. Phiên bản 0.86.v7d3355e6a_a_18 đã khắc phục những thiếu sót về ủy quyền này thông qua việc xác thực quyền toàn diện, giải quyết các rủi ro liên quan đến lỗ hổng CVE Jenkins.

CVE-2025-64134: Lỗ hổng XXE trong JDepend Plugin

Lỗ hổng CVE-2025-64134 trong JDepend Plugin giới thiệu lỗ hổng XML External Entity (XXE) injection do các phụ thuộc đã lỗi thời. Một cuộc tấn công XXE có thể cho phép kẻ tấn công đọc các tệp tùy ý trên máy chủ, thực hiện yêu cầu từ phía máy chủ (SSRF) đến các tài nguyên nội bộ hoặc từ xa, và trong một số trường hợp, thực thi mã tùy ý.

Việc khai thác lỗ hổng này có thể dẫn đến việc làm lộ bí mật cấu hình, thông tin xác thực nhạy cảm hoặc các dữ liệu quan trọng khác được lưu trữ trên hệ thống Jenkins. Mức độ rủi ro của lỗ hổng này phụ thuộc vào cấu hình của trình phân tích XML và quyền truy cập mà kẻ tấn công có thể đạt được. Việc đối phó với các lỗ hổng CVE Jenkins loại này đòi hỏi phải cập nhật các thư viện phụ thuộc và cấu hình trình phân tích XML một cách an toàn.

Các Điểm Yếu Khác và Nguy cơ Tổng thể

Bên cạnh các lỗ hổng CVE Jenkins nêu trên, bản tư vấn còn chỉ ra một số điểm yếu khác ảnh hưởng đến môi trường Jenkins. Chúng bao gồm các lỗ hổng CSRF (Cross-Site Request Forgery) trên nhiều plugin như Extensible Choice Parameter, Themis và Windocks Container Manager. Các lỗ hổng CSRF có thể bị lợi dụng để thực hiện các hành động không mong muốn thay mặt cho người dùng đã xác thực, như thay đổi cài đặt hoặc kích hoạt các job.

Một vấn đề đáng lo ngại khác là việc lưu trữ thông tin xác thực nhạy cảm dưới dạng văn bản thuần (plaintext). Nhiều plugin lưu trữ các token xác thực và khóa API không được mã hóa trong các tệp config.xml. Điều này cho phép những người dùng có quyền Item/Extended Read hoặc quyền truy cập vào hệ thống tệp có thể dễ dàng xem và đánh cắp các thông tin này.

Ngoài ra, các vấn đề liệt kê thông tin xác thực (credential enumeration) cũng được phát hiện do thiếu kiểm tra quyền. Những lỗ hổng này kết hợp lại tạo thành một bức tranh đáng lo ngại về rủi ro bảo mật tiềm ẩn trong các hệ thống Jenkins nếu không được vá kịp thời, làm tăng khả năng bị xâm phạm dữ liệu và hệ thống.

Biện pháp Khắc phục và Khuyến nghị Bản vá Bảo mật

Các tổ chức đang vận hành các triển khai Jenkins bị ảnh hưởng nên ưu tiên vá các lỗ hổng CVE Jenkins có mức độ nghiêm trọng cao trước tiên, đặc biệt là các cuộc tấn công replay của plugin SAML và các lỗ hổng thực thi lệnh của Azure CLI. Việc áp dụng bản vá bảo mật là bước quan trọng nhất để giảm thiểu rủi ro và bảo vệ hệ thống khỏi các mối đe dọa tiềm tàng.

Nhiều plugin đã nhận được bản sửa lỗi, tuy nhiên, một số bản tư vấn vẫn lưu ý về các lỗ hổng chưa được giải quyết mà không có bản vá nào được công bố tại thời điểm xuất bản. Các nhóm doanh nghiệp cần xem xét kỹ danh mục plugin của mình so với danh sách các phiên bản bị ảnh hưởng và áp dụng các cập nhật bảo mật có sẵn ngay lập tức.

Để đảm bảo an toàn tối đa, hãy thường xuyên kiểm tra các bản tin bảo mật của Jenkins và tuân thủ các hướng dẫn cập nhật. Thông tin chi tiết về các lỗ hổng và bản vá bảo mật có thể được tìm thấy tại nguồn chính thức của Jenkins:

• Jenkins Security Advisory

Việc chủ động trong việc quản lý bản vá bảo mật và cập nhật hệ thống là yếu tố then chốt để bảo vệ môi trường CI/CD khỏi các mối đe dọa tiềm tàng, đặc biệt là các lỗ hổng CVE Jenkins mới xuất hiện. Đảm bảo rằng tất cả các plugin và nhân Jenkins đều được cập nhật lên phiên bản mới nhất là biện pháp phòng ngừa hiệu quả nhất.