文章总结： Jenkins存在一个远程代码执行漏洞CVE-2026-53435，源于处理config.xml文件时不安全反序列化，已被攻击者积极利用。攻击者可借此在易受攻击实例上执行任意代码，建议立即限制访问、应用补丁并监控异常活动。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,应急响应,安全运营,应用安全

Jenkins远程代码执行漏洞已被攻击者在实际环境中利用

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月16日 19:36 北京

在小说阅读器读本章

去阅读

Jenkins 中存在一个远程代码执行 (RCE) 漏洞，编号为 CVE-2026-53435，目前已被攻击者积极利用。

该漏洞源于 Jenkins 在处理 config.xml 文件时进行的不安全反序列化，它允许未经身份验证或权限较低的攻击者在易受攻击的实例上执行任意代码，这对依赖流行的 CI/CD 自动化服务器的组织构成了严重风险。

Jenkins RCE 缺陷

安全研究人员报告称，早在 2026 年 6 月 15 日就观察到了利用攻击的尝试，攻击者使用自动化扫描和利用技术来攻击暴露的 Jenkins 实例，这是 DefusedCyber 分享的威胁情报。

从欺骗环境中收集的遥测数据表明，威胁行为者正在积极探测配置错误或未打补丁的 Jenkins 部署，利用反序列化漏洞获取初始访问权限，并有可能进一步深入企业网络。

该漏洞存在于 Jenkins 处理其配置文件中序列化对象的方式上。攻击者可以通过向 config.xml 文件注入精心构造的有效载荷，触发不安全的反序列化，从而导致在宿主系统上执行任意代码。

在 Jenkins 实例暴露于互联网或缺乏适当身份验证控制的环境中，这种攻击途径尤其危险，会显著增加攻击面。

初步攻击模式表明攻击者采取了机会主义攻击手段：他们扫描可公开访问的 Jenkins 端点，并尝试上传或修改配置文件。

一旦成功，攻击者可以执行系统级命令、部署后门，或安装其他恶意载荷，例如加密货币挖矿程序或远程访问木马。

鉴于 Jenkins 在软件开发管道中的核心作用，一旦 Jenkins 被成功攻破，攻击者还可以篡改构建过程、将恶意代码注入软件工件，或访问存储在平台中的敏感凭证。

与当前攻击活动相关的入侵指标 (IOC) 包括针对 Jenkins 配置端点的异常 HTTP POST 请求、对 config.xml 的异常修改以及来自 Jenkins 服务器的意外出站连接。

建议安全团队监控日志，查找可疑的反序列化活动和未经授权的配置更改，并实施网络级保护以限制对 Jenkins 实例的访问。

缓解措施包括立即限制公众对 Jenkins 服务器的访问、强制执行强身份验证机制，以及应用可用的补丁或供应商推荐的变通方法。

组织还应考虑关闭不必要的插件和功能，这些插件和功能可能会暴露反序列化攻击面。此外，部署Web 应用防火墙 (WAF)和入侵检测系统 (IDS) 可以帮助检测和阻止攻击尝试。

鉴于 Jenkins 在企业环境中被广泛使用且已被积极利用，CVE-2026-53435 是一个高风险漏洞，需要紧急处理。安全团队应优先进行补丁修复，开展全面的入侵评估，并确保持续监控，以检测任何入侵迹象。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Jenkins远程代码执行漏洞已被攻击者在实际环境中利用》