Auf den Punkt: Jenkins weist mehrere Schwachstellen auf, die Remote Code Execution und Sicherheitsumgehung ermöglichen und CI/CD-Infrastruktur gefährden.
Das BSI warnt vor mehreren Schwachstellen in Jenkins, die es Angreifern erlauben, beliebigen Code auszuführen und Sicherheitsmechanismen zu umgehen. Die Lücken gefährden Deployments in CI/CD-Umgebungen direkt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Sicherheitshinweis zu Jenkins veröffentlicht (WID-SEC-2026-1884). Mehrere Schwachstellen in der Automation-Plattform erlauben es einem Angreifer, beliebigen Programmcode auszuführen, sich als Benutzer auszugeben, Benutzer auf attacker-kontrollierte Domänen umzuleiten, Sicherheitsmaßnahmen zu umgehen, sensible Daten offenzulegen und zu manipulieren sowie Cross-Site-Scripting-Angriffe (XSS) zu durchzuführen.
Für CISOs in Unternehmen, die Jenkins zur Automatisierung von Build-, Test- und Deployment-Prozessen einsetzen, stellt dies ein hohes Risiko dar. Jenkins läuft typischerweise mit erweiterten Berechtigungen und hat Zugriff auf Quellcode-Repositories, Artefakt-Speicher und Produktionsumgebungen. Kompromittierte Jenkins-Instanzen können als Pivot-Punkt für Angreifer dienen, um in die gesamte Supply Chain einzudringen.
Es wird empfohlen, den offiziellen Jenkins-Sicherheitshinweis zu konsultieren und verfügbare Patches zeitnah einzuspielen. Parallel sollten Jenkins-Instanzen mit Netzwerk-Segmentierung, Zugriffskontrolle und Audit-Logging geschützt werden. Zusätzlich ist eine Überprüfung der Berechtigungen von Jenkins-Benutzerkonten und der genutzten Plugins sinnvoll, um die Angriffsfläche zu reduzieren.
Quelle: wid.cert-bund.de · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.