15.000 servidores Jenkins en riesgo por la vulnerabilidad RCE (CVE-2025-53652)

Un nuevo informe de VulnCheck expone una falla crítica de inyección de comandos (CVE-2025-53652) en el complemento Jenkins Git Parameter. Descubra cómo esta vulnerabilidad, inicialmente calificada como media, podría permitir a los hackers ejecutar código de forma remota y comprometer miles de servidores Jenkins no autenticados.

Un nuevo análisis de seguridad de la firma VulnCheck ha revelado que una vulnerabilidad en el popular servidor de automatización Jenkins es más peligrosa de lo que se creía. La falla, identificada oficialmente como CVE-2025-53652 , se consideró inicialmente una amenaza de nivel medio, pero se ha descubierto que permite un tipo de ataque grave conocido como inyección de comandos. Esto podría permitir a los hackers tomar el control total de un servidor.

Para su información, Jenkins es una potente herramienta de código abierto que las empresas utilizan para automatizar tareas en el desarrollo de software. La vulnerabilidad afecta específicamente a una función llamada complemento de parámetros de Git, que permite a los desarrolladores seleccionar y usar fácilmente diferentes versiones o ramas de código directamente en sus tareas automatizadas.

Según el informe de VulnCheck, compartido con Hackread.com, alrededor de 15.000 servidores Jenkins en Internet actualmente tienen sus configuraciones de seguridad desactivadas, lo que los convierte en blancos fáciles para este tipo de ataques.

De los más de 100.000 servidores Jenkins conectados a Internet, 15.000 tienen la autenticación desactivada (FOFA) (Fuente: VulnCheck)

El problema radica en cómo el complemento Git Parameter gestiona la información que le proporcionan los usuarios. Cuando un usuario introduce un valor, el complemento lo usa directamente en un comando sin comprobar adecuadamente su seguridad. Esto permite que un atacante experto inyecte comandos maliciosos en el sistema.

El equipo de VulnCheck confirmó que podían usar esta falla para ejecutar su propio código en el servidor, un tipo peligroso de ataque denominado ejecución remota de código (RCE). Con este método, lograron obtener el control de un servidor de pruebas e incluso acceder a información confidencial, como una clave maestra.

Aunque ya se ha publicado la solución oficial para la vulnerabilidad, VulnCheck advierte que un administrador del sistema puede deshabilitarla manualmente. Esto significa que un servidor podría seguir siendo vulnerable incluso después de haber sido actualizado. Por ello, la empresa de seguridad ha creado una regla especial para ayudar a las empresas a detectar cualquier intento de explotar esta vulnerabilidad.

Si bien la empresa no cree que la falla sea explotada ampliamente, señala que es el tipo de debilidad que los atacantes expertos valoran para ataques específicos y dirigidos o para adentrarse más profundamente en la red de una empresa.