【安全圈】Jenkins 修补多个可被利用导致拒绝服务的漏洞

摘要：Jenkins 发布了关键更新，修复了四个安全漏洞，这些漏洞可能被未经认证或低权限的攻击者利用，造成服务中断或获取敏感配置信息。受影响的版本包括 Jenkins 周更版本 2.527 及之前版本，以及长期支持（LTS）分支 2.516.2 及之前版本。管理员必

安全漏洞

Jenkins 发布了关键更新，修复了四个安全漏洞，这些漏洞可能被未经认证或低权限的攻击者利用，造成服务中断或获取敏感配置信息。受影响的版本包括 Jenkins 周更版本 2.527 及之前版本，以及长期支持（LTS）分支 2.516.2 及之前版本。管理员必须尽快升级，以降低风险。

HTTP/2 拒绝服务漏洞（CVE-2025-5115）
这是一个高危问题，存在于 Jenkins 核心内置的 Winstone-Jetty HTTP/2 实现中。由于使用的 Jetty 版本过旧，当 Jenkins 以 systemd 等等效配置方式启动时，攻击者可以通过构造恶意的 HTTP/2 帧，触发“MadeYouReset”拒绝服务攻击，最终导致 Jenkins 崩溃。该漏洞影响 Jenkins 2.523 及之前版本，以及 LTS 2.516.2 及之前版本（仅当启用了 HTTP/2 时）。值得注意的是，HTTP/2 在官方安装包和 Docker 镜像中默认关闭。Jenkins 在 2.524 和 LTS 2.516.3 版本中将 Jetty 更新至 12.0.25，从而消除了漏洞。尚无法立即升级的管理员应禁用 HTTP/2 支持作为临时缓解措施。

权限检查缺失（CVE-2025-59474 与 CVE-2025-59475）
两个中危问题与权限检查缺失有关。其一是侧边栏的执行器小部件未正确验证 Overall/Read 权限，导致未经认证的用户能够枚举代理节点的名称。另一个则出现在已认证用户的个人资料菜单中，低权限攻击者可以通过检查菜单项推测出已安装的插件，例如凭据插件。这两个漏洞均在 Jenkins 周更 2.528 和 LTS 2.516.3 中修复，修复措施包括移除存在风险的侧边栏小部件，并在个人资料菜单中增加权限校验。

日志消息注入（CVE-2025-59476）
在 Jenkins 2.527 及之前版本（以及 LTS 2.516.2 及之前版本）中，控制台日志格式化器未对用户可控内容进行充分过滤。攻击者可在日志条目中注入换行符、回车符，甚至“Trojan Source”类的 Unicode 特殊字符，从而伪造误导性日志信息，干扰事件响应。最新修复引入了标记机制，例如在被注入的内容前添加 [CR]、[LF] 或 [CRLF]> 前缀。但官方仍建议管理员使用能够高亮显示异常字符的日志查看工具，并严格限制日志访问权限。

升级与缓解建议
所有 Jenkins 用户应尽快升级至最新版本：周更版 2.528，或 LTS 2.516.3。这些版本全面修复了高危的 HTTP/2 拒绝服务漏洞（CVE-2025-5115），以及三个中危问题（CVE-2025-59474、CVE-2025-59475、CVE-2025-59476）。若短期内无法升级，至少应禁用 HTTP/2 并限制日志文件访问，以降低被利用的风险。

这些漏洞由多位安全研究人员联合发现并报告，包括 CloudBees 的 Daniel Beck、Stackhopper Security 的 Manuel Fernandez，以及 IBM Cloud 红队成员 Robert Houtenbrink、Faris Mohammed 与 Harsh Yadav。