15.000 server Jenkins a rischio a causa della vulnerabilità RCE (CVE-2025-53652)

Un nuovo report di VulnCheck rivela una falla critica di command injection (CVE-2025-53652) nel plugin Jenkins Git Parameter. Scopri come questa vulnerabilità, inizialmente classificata come media, potrebbe consentire agli hacker di eseguire codice in modalità remota e compromettere migliaia di server Jenkins non autenticati.

Una nuova analisi di sicurezza condotta dalla società VulnCheck ha rivelato che una vulnerabilità nel popolare server di automazione Jenkins è più pericolosa di quanto si pensasse in precedenza. La falla, identificata ufficialmente come CVE-2025-53652 , era inizialmente classificata come una minaccia di livello medio, ma si è scoperto che consente un tipo di attacco grave noto come command injection. Questo potrebbe potenzialmente consentire agli hacker di assumere il controllo completo di un server.

Per vostra informazione, Jenkins è un potente strumento open source utilizzato dalle aziende per automatizzare le attività di sviluppo software. La vulnerabilità riguarda specificamente una funzionalità chiamata plugin Git Parameter, che consente agli sviluppatori di selezionare e utilizzare facilmente diverse versioni o branch di codice direttamente all'interno delle loro attività automatizzate.

Secondo il rapporto di VulnCheck, condiviso con Hackread.com, circa 15.000 server Jenkins su Internet hanno attualmente le impostazioni di sicurezza disattivate, il che li rende facili bersagli per questo tipo di attacco.

Il problema risiede nel modo in cui il plugin Git Parameter gestisce le informazioni fornite dagli utenti. Quando un utente inserisce un valore, il plugin lo utilizza direttamente in un comando senza verificarne la sicurezza. Questo consente a un aggressore esperto di iniettare comandi dannosi nel sistema.

Il team di VulnCheck ha confermato di poter sfruttare questa falla per eseguire il proprio codice sul server, un tipo di attacco pericoloso chiamato esecuzione di codice remoto (RCE). Sono riusciti a utilizzare questo metodo per ottenere il controllo di un server di test e persino accedere a informazioni sensibili, come una chiave master.

Sebbene la correzione ufficiale per la vulnerabilità sia stata rilasciata, VulnCheck avverte che la patch può essere disattivata manualmente da un amministratore di sistema. Ciò significa che un server potrebbe essere ancora vulnerabile anche se aggiornato. Di conseguenza, l'azienda di sicurezza ha creato una regola speciale per aiutare le aziende a rilevare qualsiasi tentativo di sfruttare questa vulnerabilità.

Sebbene l'azienda non creda che la falla verrà sfruttata ampiamente, sottolinea che si tratta del tipo di debolezza che gli aggressori esperti apprezzano per attacchi specifici e mirati o per penetrare più a fondo nella rete di un'azienda.