Se han descubierto vulnerabilidades de severidad alta en Jenkins. Un actor malicioso podría realizar la escritura de archivos arbitrarios, eludir restricciones de seguridad o lograr la ejecución de código remoto en los sistemas afectados.
Productos afectados
- Jenkins, versión 2.554 y anteriores.
- Jenkins LTS, versión 2.541.2 y anteriores.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-33001: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de resolución de enlaces incorrecta antes del acceso a archivos. Un actor malicioso con permisos de configuración de ítems o capacidad de controlar procesos de agentes podría explotar un manejo inseguro de enlaces simbólicos durante la extracción de archivos .tar o .tar.gz. Esto permite la escritura de archivos en ubicaciones arbitrarias del sistema de archivos del controlador, facilitando el despliegue de scripts maliciosos o complementos no autorizados.
CVE-2026-33002: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de dependencia en la resolución DNS inversa para una acción crítica de seguridad. Un actor malicioso remoto podría realizar ataques de asignación de DNS para eludir la validación de origen en las solicitudes realizadas a través del punto final WebSocket de la interfaz de línea de comandos, permitiendo el acceso no autorizado a funciones protegidas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias