文章总结： Jenkins发布安全公告，修复了两个可导致远程代码执行（RCE）的严重漏洞CVE-2026-33001和CVE-2026-33002。其中CVE-2026-33001允许攻击者通过构造恶意的.tar文档写入任意文件，而CVE-2026-33002则利用DNS重绑定攻击窃取WebSocket连接。此外，还修复了LoadNinja插件中的敏感数据泄露漏洞。建议管理员立即升级至指定版本或采取临时安全措施。 综合评分： 85 文章分类： 漏洞预警,WEB安全,应用安全,CI/CD安全,渗透测试

Jenkins 严重漏洞导致CI/CD服务器易受RCE攻击

Ddos Ddos

代码卫士

2026年3月20日 18:08 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Jenkins项目发布安全公告，修复了可导致系统遭完全攻陷的两个严重漏洞CVE-2026-33001和CVE-2026-33002。这两个漏洞对于 DevOps 团队而言风险极大，可导致攻击者直接在软件开发生命周期的关键阶段注入恶意代码。

最直接的威胁是高危的任意文件创建漏洞CVE-2026-33001，影响 Jenkins 2.554和之前版本以及 LTS 2.541.2和之前版本。这些版本在提取 .tar 或 .tar.gz 文档时未能安全处理这些符号链接，从而导致构造的文档能够将文件写入文件系统上的任意位置，仅受运行 Jenkins 的用户文件系统访问权限限制。

该漏洞对于在控制器上提取的文档影响严重。攻击者可通过“将恶意脚本写入 JENKINS_HOME/init/groovy.d/directory”或者部署恶意插件的方式实现远程代码执行 (RCE) 后果。该利用能够由任何具有 “Item/Configure” 权限或者能够控制智能体进程的人员控制，因此尤为危险。

第二个高危漏洞CVE-2026-33002主要针对通过 WebSockets 访问时的 Jenkins 命令行界面。研究人员发现 Jenkins 使用不安全的 HTTP 请求标头来验证这些链接的来源，导致DNS 重绑攻击风险。通过诱骗受害者访问使用 DNS 重绑定的恶意网站来解析 Jenkins 控制器的 IP 地址，攻击者可从不受信任来源建立与 CLI 端点的 WebSocket 连接并以匿名用户身份执行 CLI 命令。如果该匿名用户身份被授权权限，或者该服务器使用了“任何人都可做任何事”的策略，则攻击者可利用 Groovy 脚本命令执行任意代码。

除了这些核心修复方案外，Jenkins 还修复了 LoadNinja 插件（v2.1及之前版本）中的敏感数据泄露漏洞CVE-2026-33003和CVE-2026-33004。该插件“在 job config.xml 文件中存储了 LoadNinja API 未加密密钥”并未能在 web 接口进行掩码处理，可被具有 “Item/Extended Read” 权限的任何用户捕获。

Jenkins 督促管理员立即升级实例，并发布如下补丁：

• Jenkins Weekly: 更新至 2.555 版本。
• Jenkins LTS: 更新至2.541.3 版本。
• LoadNinja Plugin: 更新至 2.2版本。

如无法立即更新修复 CLI 漏洞，则管理员应当“为 Jenkins 控制器设置认证机制并删除匿名用户的权限”。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Jenkins 修复CSRF和开放重定向等多个漏洞

CISA：严重的 Jenkins 漏洞已被用于勒索攻击

Jenkins 出现严重漏洞，可导致代码执行攻击

Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞

原文链接

Critical Jenkins Flaws Expose CI/CD Servers to Remote Code Execution

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos Ddos《Jenkins 严重漏洞导致CI/CD服务器易受RCE攻击》