Krytyczna luka w Jenkins umożliwiająca zdalne wykonanie kodu

Wykryto krytyczną lukę w Jenkins umożliwiającą atakującym zdalne wykonanie kodu i przejęcie kontroli nad systemem. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-53435CVSS 8.8General

Krytyczna luka w Jenkins umożliwiająca zdalne wykonanie kodu

Wykryto krytyczną lukę w Jenkins umożliwiającą atakującym zdalne wykonanie kodu i przejęcie kontroli nad systemem. Sprawdź zalecenia bezpieczeństwa.

CVSS
8.8 HIGH
EPSS
96.3%
Aktywnie wykorzystywana
brak w KEV
Produkt
jenkins

Co wiadomo

W Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych wykryto lukę pozwalającą atakującym na deserializację dowolnych typów z pliku config.xml kontrolowanego przez atakującego. Umożliwia to przejęcie tożsamości dowolnego użytkownika i wykonywanie żądań HTTP w jego imieniu, w tym uruchamianie dowolnego kodu poprzez konsolę skryptów lub odczyt plików z kontrolera Jenkins.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla środowisk Jenkins, ponieważ atakujący mogą uzyskać pełną kontrolę nad systemem, co prowadzi do potencjalnego wycieku danych, modyfikacji konfiguracji oraz wykonania złośliwego kodu. Operatorzy IT powinni traktować tę lukę jako wysokiego ryzyka i priorytetowo podejść do jej zaadresowania, aby zapobiec poważnym incydentom bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji i łatek od dostawcy Jenkins oraz ich wdrożenie. W międzyczasie warto ograniczyć dostęp do interfejsu Jenkins, monitorować logi pod kątem podejrzanych aktywności oraz przeprowadzić przegląd konfiguracji i uprawnień użytkowników. Priorytetem jest minimalizacja ekspozycji systemu na zewnętrzne ataki.

Źródła