Auf den Punkt: Mehrere Schwachstellen in Jenkins ermöglichen Remote-Code-Execution, Phishing, Authentifizierungsverletzungen und Datenzugriff ohne Authentisierung.
Das BSI warnt vor mehreren Schwachstellen in Jenkins, die es Angreifern ermöglichen, beliebigen Code auszuführen und Sicherheitskontrollen zu umgehen. Die Lücken betreffen zentrale Jenkins-Funktionen und erfordern zeitnahe Maßnahmen in betroffenen Infrastrukturen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mehrere Schwachstellen in Jenkins identifiziert, deren Ausnutzung verschiedene Angriffsszenarien ermöglicht. Die Lücken erlauben es angemeldeten oder unangemeldeten Angreifern, beliebigen Programmcode auf betroffenen Systemen auszuführen.
Darüber hinaus können die Schwachstellen für Authentifizierungsverletzungen ausgenutzt werden, indem Angreifer sich als legitime Benutzer ausgeben. Außerdem ist es möglich, Benutzer auf attacker-kontrollierte Domänen umzuleiten, um Phishing oder Malware-Verteilung durchzuführen. Die Lücken ermöglichen auch das Umgehen von Sicherheitsmaßnahmen, die Offenlegung und Manipulation von Daten sowie Cross-Site-Scripting-Angriffe.
Jenkins wird häufig in CI/CD-Pipelines für automatisierte Build- und Deployment-Prozesse eingesetzt. Für CISOs bedeutet dies, dass eine erfolgreiche Ausnutzung weitreichende Konsequenzen haben kann: Von der Manipulation von Sourcecode und Binaries über die Kompromittierung nachgelagerter Systeme bis hin zum Diebstahl von Credentials und Secrets, die in Jenkins-Jobs gespeichert sind. Eine Priorisierung von Patches und eine schnelle Inventarisierung betroffener Jenkins-Installationen sind erforderlich.
Quelle: wid.cert-bund.de · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.