CVE-2025-53652

Nome do Software Vulnerável e Versões Afetadas Plugin Jenkins Git Parameter versões 439.vb 0e46ca 14534 e anteriores

Descrição O Plugin Jenkins Git Parameter não valida o valor do parâmetro Git submetido a uma build em relação às opções oferecidas. Isso permite que atacantes com permissões de Item/Build injetem valores arbitrários nos parâmetros Git, potencialmente levando à execução de comandos. Relatos indicam que aproximadamente 15.000 servidores Jenkins estão potencialmente em risco, com alguns expostos sem autenticação. A vulnerabilidade permite a execução remota de código (RCE) e pode levar ao comprometimento total do sistema, vazamento de dados e ataques à cadeia de suprimentos. A variável BRANCH PARAM é um exemplo de um parâmetro suscetível à injeção. Atacantes podem aproveitar o Git para executar comandos. O endpoint da API /job/buildName/build está envolvido no processo de exploração, utilizando parâmetros como Jenkins-Crumb e BRANCH PARAM.

Recomendações Atualize o Plugin Jenkins Git Parameter para a versão 444.vca b 84d3703c2 ou posterior. Verifique se a flag de bypass -Dnet.uaznia.lukanus.hudson.plugins.gitparameter.GitParameterDefinition.allowAnyParameterValue=true não está habilitada. Realize uma auditoria da configuração do Jenkins para desabilitar plugins desnecessários.