El proyecto Jenkins ha publicado una alerta de seguridad de carácter crítico, en la que se detallan vulnerabilidades identificadas en cinco plugins de uso extendido: Cadence vManager, DingTalk, Health Advisor de CloudBees, OpenID Connect Provider y WSO2 Oauth.
Estas deficiencias de seguridad, que presentan niveles de gravedad que oscilan entre medio y crítico, podrían permitir a atacantes externos soslayar los mecanismos de autenticación, ejecutar código malicioso o acceder de manera no autorizada a sistemas de información confidencial. Se recomienda encarecidamente a los administradores de Jenkins implementar medidas correctivas de forma inmediata para mitigar los riesgos que estas vulnerabilidades representan para sus procesos de integración y entrega continua (CI/CD).
El aviso destaca dos vulnerabilidades críticas con puntuaciones CVSS de 9,1 y 9,8, que plantean riesgos graves para los entornos Jenkins:
Complemento OpenID Connect Provider (CVE-2025-47884, CVSS: 9.1): una falla en las versiones 96.vee8ed882ec4d y anteriores permite a los atacantes manipular tokens de ID de compilación anulando variables de entorno, como las habilitadas por complementos como Environment Injector.
Esto podría permitir a los atacantes hacerse pasar por trabajos confiables y potencialmente acceder a servicios externos. El problema se solucionó en la versión 111.v29fd614b_3617, que ignora las variables de entorno anuladas.
Complemento WSO2 Oauth (CVE-2025-47889, CVSS: 9.8): Las versiones 1.0 y anteriores no validan las afirmaciones de autenticación, lo que permite a atacantes no autenticados iniciar sesión con cualquier nombre de usuario y contraseña.
Si bien las sesiones carecen de privilegios de grupo, el impacto depende de la estrategia de autorización. Por ejemplo, la estrategia «Los usuarios que han iniciado sesión pueden hacer cualquier cosa» otorga acceso administrativo completo. No hay ninguna solución disponible, lo que deja los sistemas expuestos.
Otras vulnerabilidades incluyen:
Health Advisor del complemento CloudBees (CVE-2025-47885, CVSS: alto): las versiones 374.v194b_d4f0c8c8 y anteriores son susceptibles a secuencias de comandos entre sitios (XSS) almacenadas debido a respuestas del servidor sin escape. Los atacantes que controlen el servidor Jenkins Health Advisor podrían aprovechar esto para inyectar scripts maliciosos. La versión 374.376.v3a_41a_a_142efe resuelve el problema escapando de las respuestas.
Complemento Cadence vManager (CVE-2025-47886, CVE-2025-47887, CVSS: medio): las versiones 4.0.1-286.v9e25a_740b_a_48 y anteriores carecen de comprobaciones de permisos y son vulnerables a la falsificación de solicitudes entre sitios (CSRF). Los atacantes con permiso General/Lectura podrían conectarse a URL maliciosas utilizando credenciales especificadas por el atacante. La versión 4.0.1-288.v8804b_ea_a_cb_7f impone permisos y solicitudes POST más estrictos.
Complemento DingTalk (CVE-2025-47888, CVSS: Medio): Las versiones 2.7.3 y anteriores deshabilitan el certificado SSL/TLS y la validación del nombre de host para las conexiones de webhook, lo que corre el riesgo de ataques de intermediario. No hay ninguna solución disponible, lo que aumenta la exposición de los usuarios.
Se insta a los administradores a actualizar inmediatamente a las versiones parcheadas. Para los complementos DingTalk y WSO2 Oauth, el proyecto Jenkins no ha proporcionado correcciones, citando su estado de no mantenimiento u otras limitaciones. Es posible que los usuarios necesiten desactivar estos complementos o implementar controles de compensación, como seguridad a nivel de red o acceso restringido.
Estas vulnerabilidades subrayan los riesgos de los complementos sin mantenimiento o mal configurados en Jenkins, una piedra angular de los procesos de DevOps.
La falla de WSO2 Oauth, en particular, resalta los peligros de una autenticación laxa en el ámbito de la seguridad, mientras que el problema de OpenID Connect expone los peligros de las anulaciones de variables de entorno en configuraciones complejas de CI/CD.
El aviso también se relaciona con preocupaciones más amplias sobre la seguridad de la cadena de suministro de software, donde herramientas como Jenkins son objetivos principales. Los actores malintencionados podrían aprovechar estas fallas para inyectar código, escalar privilegios o manipular procesos de compilación, comprometiendo potencialmente el software posterior.
Los administradores de Jenkins deberían:
- Actualice los complementos afectados: aplique los parches más recientes para los complementos Cadence vManager, Health Advisor by CloudBees y OpenID Connect Provider.
- Deshabilite los complementos no corregidos: considere eliminar los complementos de DingTalk y WSO2 Oauth hasta que haya correcciones disponibles, o aísle su funcionalidad.
- Mejore los controles de seguridad: aplique el acceso con privilegios mínimos, habilite confirmaciones firmadas y supervise los registros de CI/CD en busca de anomalías.
- Auditar el historial de confirmaciones: utilice registros externos y espejos inmutables para detectar la manipulación de la marca de tiempo, como se describe en Defensas contra las confirmaciones.
- Manténgase informado: supervise los avisos de seguridad y los repositorios de complementos de Jenkins para obtener actualizaciones.
