Se han descubierto múltiples vulnerabilidades en productos de Jenkins. Entre ellas una de severidad alta. Un actor malicioso podría suplantar identidades de otros usuarios, leer archivos confidenciales del servidor y lograr la ejecución remota de código en el controlador central.
Productos afectados
Jenkins
- semanal, versión 2.567 y anteriores
- LTS, versión 2.555.2 y anteriores
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-53435: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de deserialización de datos no confiables en el motor central de Jenkins. Un actor malicioso podría suplantar la identidad de cualquier usuario y enviar solicitudes HTTP en su nombre, incluyendo el uso de la consola de scripts para ejecutar código arbitrario o leer archivos arbitrarios del controlador de Jenkins.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias