Вразливість Jenkins CVE-2026-53435: небезпечна десеріалізація
Вразливість Jenkins CVE-2026-53435 дозволяє виконувати довільний код через десеріалізацію config.xml. Рекомендується оновлення та обмеження доступу.
- CVSS
- 8.8 HIGH
- EPSS
- 96.3%
- Активно використовується
- немає в KEV
- Продукт
- jenkins
Що відомо
У версіях Jenkins 2.567 і раніше, а також LTS 2.555.2 і раніше, існує вразливість, що дозволяє зловмисникам десеріалізувати довільні типи через керований ними файл config.xml. Це дає можливість виконувати HTTP-запити від імені будь-якого користувача, включно з запуском довільного коду через Script Console.
Бізнес-вплив
Ця вразливість може призвести до повного компрометації Jenkins-контролера, дозволяючи зловмисникам виконувати код, читати файли та імітувати дії будь-якого користувача. Для ІТ-операторів це означає високий ризик витоку даних, порушення цілісності системи та потенційні перебої в роботі CI/CD процесів.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень від Jenkins та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до Jenkins контролера, ретельно перевірити журнали на підозрілі дії та мінімізувати використання плагінів, що можуть бути вразливими. Важливо також провести аудит конфігурацій та розглянути тимчасове обмеження доступу до Script Console.