El Proyecto Jenkins ha publicado un asesor de seguridad crítico que detalla las vulnerabilidades de cinco complementos ampliamente utilizados. CadencevManager, Dingtalk, Cloudbees por Health Advisor, OpenID Connect Provey y WSO2 OAuth.
Estos defectos pueden ser entre la gravedad media y severa, lo que permite que un atacante omita la autenticación, ejecute código malicioso y obtenga acceso no autorizado a sistemas confidenciales. Se les solicita a los administradores de Jenkins que presenten una demanda inmediata para mitigar los riesgos a la tubería de CI/CD.
Se ha revelado una vulnerabilidad crítica
Este aviso destaca dos vulnerabilidades importantes con puntajes CVSS de 9.1 y 9.8, plantea graves riesgos para el entorno de Jenkins.
El complemento del proveedor de OpenID Connect (CVE-2025-47884, CVSS: 9.1): una falla en la versión 96.Vee8ED882EC4D y antes permite a los atacantes manipular el token de ID de compilación al anular las variables de entorno como complementos como inyectores del entorno.
Esto podría permitir al atacante hacerse pasar por un trabajo confiable y acceder a servicios externos. Este problema se ha solucionado en la versión 111.V29FD614B_3617 e ignora las variables de entorno anuladas.
WSO2 OAuth Plugin (CVE-2025-47889, CVSS: 9.8): no valida la validación de reclamos de autenticación antes de la versión 1.0, lo que permite a los atacantes no autorenticados iniciar sesión con su nombre de usuario y contraseña.
Las sesiones no tienen privilegios grupales, pero su impacto depende de la estrategia de aprobación. Por ejemplo, la estrategia de “usuario iniciado en el usuario puede hacer cualquier cosa” le brinda acceso administrativo completo. No hay correcciones disponibles y el sistema está expuesto.
Defectos de gravedad altos y moderados adicionales
Otras vulnerabilidades incluyen:
Asesor de salud con el complemento CloudBees (CVE-2025-47885, CVSS: High): Versión 374.V194B_D4F0C8C8 y anteriormente son susceptibles a secuencias de comandos de sitios (XSS) guardados debido a las respuestas de los servidores no detalladas. Un atacante que controla el servidor Jenkins Health Advisor puede explotar esto para inyectar scripts maliciosos. Versión 374.376.v3a_41a_a_142efe resuelve el problema escapando de la respuesta.
Plugin Cadence VManager (CVE-2025-47886, CVE-2025-47887, CVSS: Medium): carece de permisos antes de la versión 4.0.1-286.V9E25A_740B_A_48 y es vulnerable a las solicitudes de sitios cruzados (CSRF). Un atacante con permiso general/de lectura puede conectarse a una URL maliciosa utilizando credenciales especificadas por el atacante. Versión 4.0.1-288.V8804B_EA_A_CB_7F Haga cumplir permisos más estrictos y solicitudes de publicación.
Dingtalk Plugin (CVE-2025-47888, CVSS: Medium): deshabilita la verificación del nombre de host para certificados SSL/TLS y conexiones webhook antes de la versión 2.7.3, poniendo en riesgo los ataques medios. Las modificaciones no están disponibles y aumentan la exposición del usuario.
Versiones y soluciones afectadas
La vulnerabilidad afecta las siguientes versiones del complemento:
Pluginnamecurrent varsesupdate DisponibleCadence vManager Pluginup a 4.0.1-286.v9e25a_740b_a_484.0.1-288.v8804b_a_cb_7fdingtalk plugin374.v194b_d4f0c8c8374.376.v3a_41a_142eFeen Pluginup de proveedor a 96.Vee8ED882EC4D111.V29FD614B_3617WSO2 OAUTH PAMPINUP
Los administradores recomiendan actualizarse a la versión parchada de inmediato. Para los complementos Dingtalk y WSO2 OAuth, el proyecto Jenkins no proporciona ninguna modificación, citando estatus no mantenidos u otras restricciones. Los usuarios pueden necesitar deshabilitar estos complementos o implementar controles de compensación, como seguridad a nivel de red y acceso restringido.
Estas vulnerabilidades destacan el riesgo de complementos no mantenidos o no configurados en Jenkins, la base de la tubería DevOps.
En particular, las fallas en WSO2 OAuth resaltan los peligros de la autenticación laxa en el ámbito de seguridad, pero el problema de OpenID Connect expone las trampas de la medición ambiental variable para las configuraciones complejas de CI/CD.
Este aviso también está vinculado a preocupaciones más amplias sobre la seguridad de la cadena de suministro de software, donde herramientas como Jenkins son sus objetivos principales. Los actores maliciosos pueden explotar estos defectos para inyectar código, aumentar los privilegios, manipular el proceso de compilación y socavar potencialmente el software aguas abajo.
Los administradores de Jenkins deberían:
Complementos afectados actualizados: aplique los últimos parches para Cadence VManager, CloudBees Health Advisor y OpenID Connect Provider Plugins. Desactive los complementos no fijos: considere eliminar los complementos DingTalk y WSO2 OAuth hasta que la solución esté disponible o la funcionalidad de aislamiento. Controles de seguridad mejorados: garantizar un acceso mínimo, habilitar compromisos firmados y monitorear los registros de anomalías CI/CD. Historial de confirmación de auditoría: utiliza registro externo y espejos inmutables para detectar operaciones de marca de tiempo como se describe en Stop Defense. Información de estadía: monitorear el repositorio de asesoramiento de seguridad y complementos de Jenkins para actualizaciones.
¿Cómo descubrir activos externos vulnerables relacionados con un dominio o IP? -> Pruebe el buscador de activos cibernéticos gratis
