El 6 de junio de 2025, el Proyecto Jenkins publicó un aviso de seguridad (SECURITY-3588 / CVE-2025-5806) relacionado con una vulnerabilidad crítica detectada en el complemento Gatling. Este complemento es fundamental para la visualización de informes de pruebas de rendimiento en el servidor de automatización Jenkins.
La vulnerabilidad ha sido calificada como de gravedad alta, con puntuaciones base CVSS que oscilan entre 8.0 y 9.0, dependiendo de la versión afectada. Esto subraya un riesgo considerable para los sistemas que utilizan dicho complemento.
El problema principal radica en la versión 136.vb_9009b_3d33a_e del complemento Gatling, que proporciona informes Gatling de una manera que evita las protecciones de la Política de seguridad de contenido (CSP) introducidas en las versiones 1.641 y 1.625.3 de Jenkins.
Esta omisión habilita una vulnerabilidad de secuencias de comandos entre sitios (XSS), clasificada como CWE-79: Neutralización inadecuada de la entrada durante la generación de páginas web.
Los atacantes con la capacidad de modificar el contenido de los informes (incluso aquellos con acceso con pocos privilegios) pueden inyectar scripts maliciosos que se ejecutan en el contexto de los navegadores de otros usuarios.
Dichos scripts podrían provocar el robo de cookies de sesión confidenciales, acciones no autorizadas y comprometer las credenciales del usuario o información confidencial.
Términos técnicos y códigos involucrados:
- Política de seguridad de contenido (CSP): un estándar de seguridad diseñado para evitar XSS restringiendo las fuentes desde las cuales se pueden cargar scripts y otros recursos.
- Cross-Site Scripting (XSS): una vulnerabilidad en la que se inyectan scripts maliciosos en páginas web vistas por otros usuarios.
- CVE-2025-5806: el identificador oficial de esta vulnerabilidad.
- SECURITY-3588: El identificador de aviso interno de Jenkins.
- CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H: El vector del Sistema de puntuación de vulnerabilidad común (CVSS), que indica altos impactos en confidencialidad, integridad y disponibilidad.
La vulnerabilidad afecta específicamente a las versiones del complemento Gatling hasta 136.vb_9009b_3d33a_e inclusive.
A diferencia de cierta documentación, las versiones anteriores no se ven afectadas; esto se debe a una limitación técnica en la forma en que se representan las páginas de asesoramiento en jenkins.io.
A partir de la publicación del aviso, no hay ningún parche oficial disponible.
El Proyecto Jenkins recomienda cambiar a la versión 1.3.0 del complemento Gatling como medida de mitigación temporal.
Estrategias de mitigación:
- Cambiar a la versión 1.3.0: hasta que se publique una solución, esta es la recomendación principal.
- Restringir la modificación del informe: limite quién puede modificar el contenido del informe Gatling para reducir la superficie de ataque.
- Implementar validación de entrada adicional: aplique una validación de entrada y una codificación de salida estrictas para evitar la inyección de scripts.
- Revise y fortalezca la configuración de CSP: asegúrese de que los encabezados de Política de seguridad de contenido estén configurados y aplicados correctamente.
- Realice revisiones de seguridad: realice revisiones exhaustivas de las configuraciones de los complementos y los permisos de los usuarios.
Múltiples fuentes, incluido el Proyecto Jenkins, CloudBees e investigadores de seguridad, han asignado a la vulnerabilidad una calificación de gravedad alta.
La puntuación base del CVSS de 8,0 a 9,0 refleja el potencial de un impacto significativo si se explota, aunque actualmente no hay evidencia de explotación activa ni una prueba pública de concepto.
Los avisos de seguridad y las bases de datos de vulnerabilidades, incluidas NVD, GitHub Advisory Database y Tenable, han publicado análisis detallados.
El Exploit Prediction Scoring System (EPSS) estima una probabilidad baja (0,04%) de actividad de explotación en los próximos 30 días, pero se insta a las organizaciones a permanecer alerta.
Conclusiones clave para los equipos de seguridad:
- Supervise las actualizaciones: manténgase informado sobre nuevos lanzamientos o parches para el complemento Gatling.
- Aplicar privilegios mínimos: restrinja los permisos de usuario solo a lo necesario.
- Mejorar el monitoreo: implementar el monitoreo de actividades inusuales relacionadas con la generación y el acceso a informes.
- Educar a los usuarios: capacitar al personal para reconocer y evitar acciones que puedan conducir a la explotación.
La vulnerabilidad del complemento Jenkins Gatling (CVE-2025-5806 / SECURITY-3588) destaca los desafíos actuales de proteger los ecosistemas de complementos dentro de las plataformas de automatización.
Sin una solución inmediata disponible, las organizaciones deben confiar en la degradación, controles de acceso estrictos y prácticas de seguridad mejoradas para proteger sus entornos.
Los equipos de seguridad deben priorizar este aviso y prepararse para implementar parches tan pronto como estén disponibles.
Al mantenerse informadas y proactivas, las organizaciones pueden mitigar los riesgos que plantea esta vulnerabilidad XSS de alta gravedad y mantener la integridad de sus canales de CI/CD.
