15 000 серверов Jenkins подвержены риску из-за уязвимости RCE (CVE-2025-53652)

В новом отчёте VulnCheck раскрывается критическая уязвимость внедрения команд (CVE-2025-53652) в плагине Jenkins Git Parameter. Узнайте, как эта уязвимость, изначально оцененная как средняя, может позволить хакерам удалённо выполнить код и скомпрометировать тысячи неаутентифицированных серверов Jenkins.

Новый анализ безопасности, проведённый компанией VulnCheck, показал, что уязвимость в популярном сервере автоматизации Jenkins оказалась опаснее, чем считалось ранее. Уязвимость, официально обозначенная как CVE-2025-53652 , изначально была оценена как угроза среднего уровня, но впоследствии была обнаружена как допускающая серьёзную атаку, известную как инъекция команд. Это потенциально может позволить хакерам получить полный контроль над сервером.

К вашему сведению, Jenkins — это мощный инструмент с открытым исходным кодом, используемый компаниями для автоматизации задач разработки программного обеспечения. Уязвимость затрагивает, в частности, функцию плагина Git Parameter, которая позволяет разработчикам легко выбирать и использовать различные версии или ветви кода непосредственно в автоматизированных задачах.

По данным отчета VulnCheck, предоставленного Hackread.com, в настоящее время около 15 000 серверов Jenkins в Интернете имеют отключенные настройки безопасности, что делает их легкой мишенью для такого рода атак.

Из более чем 100 000 серверов Jenkins, подключенных к Интернету, на 15 000 отключена аутентификация — FOFA (Источник: VulnCheck)

Проблема заключается в том, как плагин Git Parameter обрабатывает информацию, предоставленную ему пользователями. Когда пользователь вводит значение, плагин использует его непосредственно в команде, не выполняя надлежащую проверку безопасности. Это позволяет опытному злоумышленнику внедрять вредоносные команды в систему.

Команда VulnCheck подтвердила, что злоумышленники могли использовать эту уязвимость для запуска собственного кода на сервере, что представляет собой опасный тип атаки, называемый удалённым выполнением кода (RCE). С помощью этого метода они смогли получить контроль над тестовым сервером и даже доступ к конфиденциальной информации, например, к мастер-ключу.

Несмотря на выпуск официального исправления уязвимости, VulnCheck предупреждает, что системный администратор может вручную отключить исправление. Это означает, что сервер может быть уязвим даже после обновления. В связи с этим компания разработала специальное правило, которое поможет компаниям выявлять попытки эксплуатации этой уязвимости.

Хотя в компании не верят, что уязвимость получит широкое распространение, они отмечают, что это тот тип слабости, который опытные злоумышленники ценят для конкретных целевых атак или для более глубокого проникновения в сеть компании.