Μια κρίσιμη συμβουλή ασφαλείας που αντιμετωπίζει πολλαπλά τρωτά σημεία υψηλής σοβαρότητας στον πυρήνα Jenkins και στην προσθήκη LoadNinja.
Εκδόθηκε στις 18 Μαρτίου 2026, η ειδοποίηση προειδοποιεί ότι αυτά τα ελαττώματα θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελέσουν αυθαίρετο κώδικα και να θέσουν σε πλήρη κίνδυνο τη συνεχή ενοποίηση και τους αγωγούς συνεχούς ανάπτυξης.
Το πιο σοβαρό ελάττωμα, που παρακολουθείται ως CVE-2026-33001, προέρχεται από τον τρόπο με τον οποίο ο Jenkins χειρίζεται συμβολικούς συνδέσμους κατά την εξαγωγή .tar and .tar.gz αρχεία.
Οι εισβολείς με δικαιώματα διαμόρφωσης στοιχείων μπορούν να δημιουργήσουν κακόβουλα αρχεία για να γράφουν αρχεία σε αυθαίρετες τοποθεσίες στο σύστημα αρχείων.
Επειδή αυτή η εξαγωγή πραγματοποιείται απευθείας στον ελεγκτή, οι φορείς απειλών μπορούν να γράψουν κακόβουλα σενάρια στο init. groovy.d/ καταλόγου ή αναπτύξτε αδίστακτα πρόσθετα στο plugins/ ντοσιέ.
Αυτό τελικά παρέχει πλήρεις δυνατότητες απομακρυσμένης εκτέλεσης κώδικα. Λειτουργίες όπως η δράση “Αρχειοθέτηση των τεχνουργημάτων” μετά την κατασκευή και συγκεκριμένα βήματα διοχέτευσης βασίζονται σε μεγάλο βαθμό σε αυτήν την ευάλωτη λειτουργικότητα.
Ευπάθεια στο WebSocket Hijacking
Μια δεύτερη ευπάθεια υψηλής σοβαρότητας, που προσδιορίζεται ως CVE-2026-33002, περιλαμβάνει ένα ελάττωμα επανασύνδεσης DNS στην επικύρωση προέλευσης διεπαφής γραμμής εντολών WebSocket.
Ο Jenkins βασίζεται στις κεφαλίδες αιτημάτων HTTP για να υπολογίσει τις αναμενόμενες προελεύσεις. Οι εισβολείς μπορούν να παρακάμψουν αυτήν την επικύρωση εξαπατώντας ένα θύμα να επισκεφτεί έναν κακόβουλο ιστότοπο που επιλύεται στη διεύθυνση IP του ελεγκτή Jenkins.
Αυτό δημιουργεί μια μη εξουσιοδοτημένη σύνδεση WebSocket στο τελικό σημείο CLI. Εάν το περιβάλλον Jenkins επιτρέπει ανώνυμα δικαιώματα χρήστη και λειτουργεί μέσω απλού HTTP, οι εισβολείς μπορούν να εκτελέσουν εντολές CLI.
Ανάλογα με το επίπεδο πρόσβασης του ανώνυμου χρήστη, αυτό μπορεί να έχει ως αποτέλεσμα την εκτέλεση δέσμης ενεργειών Groovy και την επακόλουθη απομακρυσμένη εκτέλεση κώδικα.
Το Plugin Exposes Keys API
Εκτός από τα βασικά τρωτά σημεία, η συμβουλευτική επισήμανε ένα ζήτημα μέτριας σοβαρότητας στο LoadNinja Plugin.
Παρακολούθηση σύμφωνα με το CVE-2026-33003 για μη ασφαλή αποθήκευση και το CVE-2026-33004 για έλλειψη κάλυψης, η προσθήκη αποθήκευε ιστορικά κλειδιά API σε μη κρυπτογραφημένη μορφή στα αρχεία διαμόρφωσης εργασιών.
Επιπλέον, η διεπαφή διαμόρφωσης απέτυχε να κρύψει αυτά τα διαπιστευτήρια, αφήνοντάς τα εκτεθειμένα σε οποιονδήποτε χρήστη με εκτεταμένα δικαιώματα ανάγνωσης ή πρόσβαση στο σύστημα αρχείων.
Σύμφωνα με την συμβουλή ασφαλείας του Jenkins Projectοι διαχειριστές πρέπει να κάνουν αναβάθμιση σε Jenkins 2.555 (εβδομαδιαία) ή 2.541.3 (LTS) και να ενημερώσουν την προσθήκη LoadNinja σε έκδοση 2.2 εάν δεν είναι δυνατή η άμεση ενημέρωση κώδικα.
Οι οργανισμοί μπορούν να εφαρμόσουν προσωρινές λύσεις για το ελάττωμα επανασύνδεσης DNS διαμορφώνοντας τον αυστηρό έλεγχο ταυτότητας για τον ελεγκτή και καταργώντας εντελώς τα δικαιώματα για τον ανώνυμο χρήστη.
