Las vulnerabilidades críticas de Jenkins exponen los servidores CI/CD a ataques RCE
Resumen Informativo
De acuerdo a la publicación titulada Las vulnerabilidades críticas de Jenkins exponen los servidores CI/CD a ataques RCE, difundida en fecha 20/03/2026 11:39, por el medio Cybersecuritynews (Autor: Abinaya):
Un aviso de seguridad crítico que aborda múltiples vulnerabilidades de alta gravedad en el núcleo de Jenkins y el complemento LoadNinja. Emitida el 18 de marzo de 2026, la alerta advierte que estas fallas podrían permitir a los atacantes ejecutar código arbitrario y comprometer completamente las canalizaciones de integración y implementación continua.
La falla más grave, identificada como CVE-2026-33001, surge de cómo Jenkins maneja los enlaces simbólicos al extraer archivos.tar y.tar.gz. Los atacantes con permisos de configuración de elementos pueden crear archivos maliciosos para escribir archivos en ubicaciones arbitrarias del sistema de archivos. Vulnerabilidad de secuestro de WebSocket Una segunda vulnerabilidad de alta gravedad, identificada como CVE-2026-33002, implica una falla de vinculación de DNS dentro de la validación del origen de la interfaz de línea de comandos de WebSocket. Los atacantes pueden eludir esta validación engañando a la víctima para que visite un sitio web malicioso que se resuelva en la dirección IP del controlador Jenkins.
Si el entorno Jenkins permite permisos de usuarios anónimos y opera a través de HTTP simple, los atacantes pueden ejecutar comandos CLI. Rastreado bajo CVE-2026-33003 por almacenamiento inseguro y CVE-2026-33004 por falta de enmascaramiento, el complemento históricamente almacenaba claves API en un formato no cifrado dentro de los archivos de configuración del trabajo.
| Fuente: | Cybersecuritynews |
| Título original: | Las vulnerabilidades críticas de Jenkins exponen los servidores CI/CD a ataques RCE |
| Publicado: | 20/03/2026 11:39 |
| Enlace: | https://cybersecuritynews.com/jenkins-vulnerabilities-expose-ci-cd-servers |
| Consultado: | 20/03/2026 |
