-
09/04/2020
-
99
-
847 bài viết
Plugin Gatling trong Jenkins tồn tại lỗ hổng nghiêm trọng, ảnh hưởng hệ thống CI/CD
Một lỗ hổng nghiêm trọng trong plugin Gatling của Jenkins với mã CVE-2025-5806 đang đe dọa tính an toàn của nhiều hệ thống CI/CD. Lỗ hổng này cho phép tin tặc vượt qua Content-Security-Policy (CSP) - cơ chế bảo vệ quan trọng chống lại các cuộc tấn công cross-site scripting (XSS).
Lỗ hổng xuất phát từ cách plugin Gatling hiển thị các báo cáo kiểm thử hiệu năng (performance test reports) bên trong giao diện Jenkins. Cụ thể, phiên bản 136.vb_9009b_3d33a_e không tuân thủ đúng các quy tắc CSP đã được Jenkins áp dụng từ phiên bản 1.641 và 1.625.3 để ngăn chặn các đoạn mã độc bị chèn vào trang web.
Trong thực tế, CSP giúp kiểm soát các tài nguyên được phép tải và thực thi trên trình duyệt. Khi được thiết lập đúng, CSP ngăn chặn việc thực thi các đoạn mã JavaScript không đáng tin cậy ngay cả khi có dữ liệu bị chèn vào.
Tuy nhiên, plugin Gatling lại hiển thị nội dung báo cáo một cách thiếu kiểm soát, cho phép nội dung do người dùng tự chỉnh sửa (ví dụ: developer, QA hoặc admin) chèn mã độc JavaScript, từ đó vượt qua hoàn toàn lớp bảo vệ CSP.
Nếu bị khai thác, tin tặc có thể thực thi mã JavaScript tùy ý trong môi trường Jenkins, từ đó:
Vì vậy, giải pháp tạm thời đó là:
Theo Cyber Security News
Lỗ hổng xuất phát từ cách plugin Gatling hiển thị các báo cáo kiểm thử hiệu năng (performance test reports) bên trong giao diện Jenkins. Cụ thể, phiên bản 136.vb_9009b_3d33a_e không tuân thủ đúng các quy tắc CSP đã được Jenkins áp dụng từ phiên bản 1.641 và 1.625.3 để ngăn chặn các đoạn mã độc bị chèn vào trang web.
Trong thực tế, CSP giúp kiểm soát các tài nguyên được phép tải và thực thi trên trình duyệt. Khi được thiết lập đúng, CSP ngăn chặn việc thực thi các đoạn mã JavaScript không đáng tin cậy ngay cả khi có dữ liệu bị chèn vào.
Tuy nhiên, plugin Gatling lại hiển thị nội dung báo cáo một cách thiếu kiểm soát, cho phép nội dung do người dùng tự chỉnh sửa (ví dụ: developer, QA hoặc admin) chèn mã độc JavaScript, từ đó vượt qua hoàn toàn lớp bảo vệ CSP.
Nếu bị khai thác, tin tặc có thể thực thi mã JavaScript tùy ý trong môi trường Jenkins, từ đó:
- Chiếm quyền phiên đăng nhập
- Đánh cắp thông tin tài khoản
- Thực hiện hành vi trái phép dưới quyền quản trị viên
- Truy cập thông tin build nhạy cảm
- Thay đổi cấu hình hệ thống hoặc pipeline CI/CD
Khuyến cáo
Đội ngũ Jenkins cho biết hiện chưa có bản vá cho plugin Gatling phiên bản 136.vb_9009b_3d33a_e. Đây là một trong những trường hợp hiếm khi lỗ hổng được công bố mà không có bản vá kèm theo.Vì vậy, giải pháp tạm thời đó là:
- Hạ cấp plugin về phiên bản 1.3.0 vì phiên bản này không bị ảnh hưởng bởi lỗ hổng.
- Tạm thời vô hiệu hóa plugin Gatling nếu không thể hạ cấp ngay lập tức.
- Tăng cường giám sát các hoạt động bất thường trong Jenkins, đặc biệt là quá trình tạo và xem báo cáo.
- Xem xét lại phân quyền và giới hạn truy cập mạng với các máy chủ Jenkins, tránh để người dùng không đáng tin truy cập.
Theo Cyber Security News
Chỉnh sửa lần cuối: