Security Advisory đã công bố nhiều lỗ hổng CVE trong Jenkins Core, bao gồm một lỗ hổng Cross-Site Scripting (XSS) được lưu trữ, có khả năng gây rủi ro bảo mật nghiêm trọng cho môi trường build.

Các vấn đề này, được định danh là CVE-2026-27099 và CVE-2026-27100, đã được tiết lộ một cách có trách nhiệm theo Chương trình Jenkins Bug Bounty.

Phân Tích CVE-2026-27099: Lỗ Hổng Stored XSS Nghiêm Trọng

Lỗ hổng nghiêm trọng nhất trong hai vấn đề được phát hiện là CVE-2026-27099, một lỗ hổng XSS lưu trữ mức độ nghiêm trọng cao. Lỗ hổng này ảnh hưởng đến các phiên bản Jenkins 2.550 và cũ hơn, cũng như các phiên bản LTS 2.541.1 và cũ hơn.

Nguyên Nhân Gốc Rễ và Cơ Chế Khai Thác

Nguyên nhân của lỗ hổng bắt nguồn từ cách Jenkins xử lý “offline cause descriptions” – các mô tả giải thích lý do một build node bị offline. Kể từ phiên bản 2.483, các mô tả này cho phép nội dung HTML, tuy nhiên, dữ liệu đầu vào không được thoát đúng cách trong các phiên bản dễ bị tấn công.

Một kẻ tấn công sở hữu quyền Agent/Configure hoặc Agent/Disconnect có thể chèn mã JavaScript độc hại vào “offline cause description”. Điều này tiềm ẩn nguy cơ làm tổn hại đến các phiên làm việc của những người dùng khác trong môi trường Jenkins. Khi một người dùng khác truy cập vào trang có chứa mô tả này, mã độc sẽ được thực thi, dẫn đến các kịch bản tấn công như chiếm quyền phiên (session hijacking), đánh cắp cookie, hoặc chuyển hướng người dùng đến các trang web độc hại.

Phiên Bản Ảnh Hưởng và Biện Pháp Khắc Phục

Các phiên bản Jenkins 2.551 và LTS 2.541.2 đã khắc phục triệt để vấn đề này bằng cách thoát dữ liệu đầu vào do người dùng cung cấp. Ngoài ra, các instance Jenkins từ phiên bản 2.539 trở lên, có bật tính năng áp dụng Content Security Policy (CSP), sẽ được bảo vệ một phần chống lại các cuộc tấn công này, mặc dù không hoàn toàn loại bỏ rủi ro nếu CSP không được cấu hình một cách nghiêm ngặt.

Phân Tích CVE-2026-27100: Rò Rỉ Dữ Liệu Tham Số Run

Lỗ hổng thứ hai, CVE-2026-27100, được xếp loại có mức độ nghiêm trọng trung bình, ảnh hưởng đến cách Jenkins xử lý các giá trị Run Parameter.

Cơ Chế Rò Rỉ Dữ Liệu

Trong các phiên bản bị ảnh hưởng lên đến 2.550 (và LTS 2.541.1), người dùng có thể truy vấn các bản build hoặc job mà họ không có quyền truy cập. Điều này cho phép kẻ tấn công xác định liệu các dự án hoặc bản build cụ thể có tồn tại hay không, từ đó dẫn đến rò rỉ dữ liệu thông tin nhạy cảm trong môi trường Jenkins. Mặc dù không trực tiếp đánh cắp nội dung, việc biết sự tồn tại của các tài nguyên này có thể cung cấp thông tin quý giá cho kẻ tấn công để lập kế hoạch các cuộc tấn công tiếp theo hoặc khai thác các lỗ hổng khác.

Giải Quyết Lỗ Hổng

Các phiên bản Jenkins 2.551 và LTS 2.541.2 đã được cập nhật để từ chối các giá trị Run Parameter trái phép một cách thích hợp, ngăn chặn loại rò rỉ dữ liệu này.

Cập Nhật và Triển Khai Bản Vá Bảo Mật

Các quản trị viên Jenkins được khuyến cáo mạnh mẽ nên cập nhật lên các phiên bản mới nhất là 2.551 hoặc LTS 2.541.2 để giảm thiểu cả hai lỗ hổng CVE đã được mô tả. Việc triển khai bản vá bảo mật này là cực kỳ quan trọng để bảo vệ hệ thống khỏi các rủi ro tiềm tàng.

Các bản build đang chạy trên các phiên bản cũ hơn vẫn có nguy cơ bị tiêm mã script độc hại (do lỗ hổng XSS) và tiếp xúc trái phép thông tin build (do rò rỉ dữ liệu). Việc trì hoãn cập nhật có thể dẫn đến hậu quả nghiêm trọng về an toàn thông tin.

Để biết thêm chi tiết về khuyến nghị bảo mật và các bước cập nhật, hãy tham khảo trang thông báo bảo mật chính thức của Jenkins: Jenkins Security Advisory 2026-02-18. Việc theo dõi và áp dụng các bản vá bảo mật định kỳ là nền tảng để duy trì an toàn cho môi trường phát triển và vận hành.