15 000 serwerów Jenkins zagrożonych luką w zabezpieczeniach RCE (CVE-2025-53652)

Nowy raport VulnCheck ujawnia krytyczną lukę w zabezpieczeniach umożliwiającą wstrzykiwanie poleceń (CVE-2025-53652) we wtyczce Jenkins Git Parameter. Dowiedz się, jak ta luka, początkowo oceniona jako średnia, może umożliwić hakerom zdalne wykonanie kodu i przejęcie kontroli nad tysiącami nieuwierzytelnionych serwerów Jenkins.

Nowa analiza bezpieczeństwa przeprowadzona przez firmę VulnCheck ujawniła, że luka w popularnym serwerze automatyzacji Jenkins jest bardziej niebezpieczna niż wcześniej sądzono. Luka, oficjalnie oznaczona jako CVE-2025-53652 , została początkowo sklasyfikowana jako zagrożenie średniego poziomu, ale okazało się, że umożliwia ona przeprowadzenie poważnego ataku znanego jako wstrzykiwanie poleceń. Może to potencjalnie pozwolić hakerom na przejęcie pełnej kontroli nad serwerem.

Jenkins to potężne narzędzie open source, z którego korzystają firmy do automatyzacji zadań w procesie tworzenia oprogramowania. Luka dotyczy w szczególności funkcji o nazwie wtyczka Git Parameter, która umożliwia programistom łatwe wybieranie i używanie różnych wersji lub gałęzi kodu bezpośrednio w ramach zautomatyzowanych zadań.

Według raportu VulnCheck udostępnionego serwisowi Hackread.com, obecnie około 15 000 serwerów Jenkins w internecie ma wyłączone ustawienia bezpieczeństwa, co czyni je łatwym celem tego rodzaju ataków.

Problem tkwi w sposobie, w jaki wtyczka Git Parameter obsługuje informacje przekazywane jej przez użytkowników. Gdy użytkownik wprowadza wartość, wtyczka używa jej bezpośrednio w poleceniu, bez dokładnego sprawdzenia, czy jest ona bezpieczna. Pozwala to wprawnemu atakującemu na wstrzyknięcie złośliwych poleceń do systemu.

Zespół VulnCheck potwierdził, że może wykorzystać tę lukę do uruchomienia własnego kodu na serwerze, co stanowi niebezpieczny rodzaj ataku zwanego zdalnym wykonaniem kodu (RCE). Za pomocą tej metody udało im się przejąć kontrolę nad serwerem testowym, a nawet uzyskać dostęp do poufnych informacji, takich jak klucz główny.

Mimo że oficjalna poprawka na tę lukę została już opublikowana, VulnCheck ostrzega, że poprawka może zostać ręcznie wyłączona przez administratora systemu. Oznacza to, że serwer nadal może być podatny na ataki, nawet po aktualizacji. W związku z tym firma zajmująca się bezpieczeństwem stworzyła specjalną regułę, która ma pomóc firmom wykrywać wszelkie próby wykorzystania tej luki.

Chociaż firma nie wierzy, że ta luka będzie szeroko wykorzystywana, zauważa, że jest to rodzaj słabości, którą doświadczeni atakujący cenią w przypadku konkretnych, ukierunkowanych ataków lub w celu głębszego wniknięcia w sieć firmy.