Jenkins ha publicado parches que corrigen una vulnerabilidad de alta severidad que permite ataques de denegación de servicio (DoS) no autenticados mediante la interfaz de línea de comandos HTTP. Esta falla afecta a versiones 2.540 y anteriores (LTS 2.528.2 y anteriores) y permite que atacantes remotos exploten la gestión inadecuada de conexiones para agotar los recursos del servidor, provocando indisponibilidad sin necesidad de credenciales.
CVE y severidad
| CVE | Tipo de vulnerabilidad | Severidad | CVSS Base Score | Vector CVSS | Vector de ataque |
|---|---|---|---|---|---|
| CVE-2025-67635 | Denegación de servicio (DoS) vía CLI HTTP | Alta | Alta | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | Red (CLI HTTP) |
Productos afectados
Jenkins en versiones 2.540 y anteriores, incluyendo la línea LTS 2.528.2 y anteriores.
Solución
Actualizar inmediatamente a Jenkins 2.541 o LTS 2.528.3 para corregir esta vulnerabilidad.
Recomendaciones
Priorizar la aplicación del parche en todas las instalaciones de Jenkins, especialmente en aquellas expuestas a redes no confiables o acceso público. Monitorizar los sistemas para detectar patrones inusuales de conexión o incrementos anómalos en los hilos que puedan indicar intentos de explotación activa.