Jenkins es una plataforma de automatización ampliamente utilizada para la integración y entrega continua en entornos de desarrollo. Recientemente, se han identificado varias vulnerabilidades que podrían comprometer la seguridad de los sistemas afectados.
- CVE-2025-27622 (CVSS 4.3): Se ha identificado una vulnerabilidad en la que los valores cifrados de secretos almacenados en la configuración de agentes pueden ser revelados a usuarios con permiso de lectura extendida. Esto permite a atacantes con dichos permisos acceder a información sensible.
- CVE-2025-27623 (CVSS 4.3): Una vulnerabilidad en la configuración de vistas permite que valores cifrados de secretos sean expuestos a usuarios con permiso de lectura. Esto representa un riesgo de fuga de información confidencial.
- CVE-2025-27624 (CVSS 5.4): Se ha detectado una vulnerabilidad de Cross-Site Request Forgery (CSRF) que permite a atacantes manipular el estado de colapso o expansión de los widgets del panel lateral, pudiendo almacenar contenido controlado en los perfiles de usuario de Jenkins.
- CVE-2025-27625 (CVSS 4.3): Existe una vulnerabilidad de redirección abierta que permite a atacantes realizar ataques de phishing. Mediante el uso de caracteres específicos en URLs, los usuarios pueden ser redirigidos a sitios maliciosos.
Productos y versiones afectadas
- Jenkins weekly:
- Versiones previas a la 2.500.
- Jenkins LTS:
- Versiones previas a la 2.492.2.
Solución
- Jenkins weekly:
- Actualizar a la versión 2.500 o posterior.
- Jenkins LTS:
- Actualizar a la versión 2.492.2 o posterior.
Recomendaciones:
- Actualizar Jenkins a las versiones más recientes que contengan los parches de seguridad.
- Restringir los permisos de acceso a la configuración de agentes y vistas para minimizar el riesgo de exposición de información sensible.
- Implementar controles de seguridad adicionales para prevenir ataques de phishing y manipulación de interfaces.
Referencias: