A equipe de segurança do Jenkins divulgou nesta quarta-feira (24) um advisory que corrige 26 vulnerabilidades em 18 plugins da plataforma de automação. Duas falhas de alta severidade no Script Security Plugin permitem burlar o sandbox Groovy e executar código arbitrário no controller. Outras falhas incluem injeção de comando, leitura de arquivos arbitrários e vazamento de credenciais AWS. Quatro plugins não possuem correção disponível.
Três vulnerabilidades mais críticas
As falhas com maior impacto concentram-se no Script Security Plugin, componente central de proteção contra execução não autorizada de scripts no Jenkins.
CVE-2026-57280 (CVSS High): O plugin Script Security nas versões 1402.v94c9ce464861 e anteriores não intercepta a conversão implícita de tipo aplicada aos elementos de loops for tipados em scripts Groovy dentro do sandbox. A conversão ocorre durante a geração de bytecode, antes das verificações de segurança. Atacantes com permissão para fornecer scripts podem invocar construtores de tipos arbitrários e executar código arbitrário no Jenkins controller (Jenkins Security Advisory, 2026).
CVE-2026-57281 (CVSS High): O mesmo plugin não rejeita anotações de transformação AST do Groovy, como @CompileStatic e @TypeChecked, que contêm um membro extensions. Essas anotações carregam e executam scripts do classpath durante a compilação, antes que o sandbox seja aplicado. A equipe de segurança do Jenkins avaliou a exploração bem-sucedida como improvável, mas classificou a severidade como High pelo impacto potencial (Jenkins Security Advisory, 2026).
CVE-2026-57282 (CVSS Medium): O Git client Plugin 6.6.0 e anteriores não escapa corretamente o nome do diretório de trabalho ao gerar scripts wrapper SSH em agentes Unix. Quando a estratégia “Manually provided keys” de verificação de chaves SSH está configurada, o caminho do workspace é inserido diretamente no script gerado sem sanitização. Atacantes que controlam o nome do workspace — por exemplo, via parâmetros de build que determinam o diretório — podem injetar substituição de comandos shell ($(...)) e executar código arbitrário nos agentes. A correção na versão 6.6.1 move o arquivo known_hosts para o diretório temporário do sistema, eliminando o caminho do workspace da equação (Jenkins Security Advisory, 2026).
O Sandbox do Groovy é a principal barreira de segurança do Jenkins contra execução não autorizada. Em pipelines compartilhados ou multitenant, desenvolvedores externos frequentemente recebem permissão para fornecer scripts que são executados sob o sandbox. Quando essa barreira falha, o atacante obtém controle total do Jenkins controller — o servidor central da plataforma — com acesso a credenciais, secrets e capacidade de implantar código em todos os projetos configurados (CyberPress, 2026).
Falhas de permissão e vazamento
O advisory também corrige múltiplas falhas de verificação de permissão que expõem informações sensíveis. Em ambientes corporativos, onde o Jenkins geralmente integra-se com serviços de nuvem e diretórios LDAP, essas falhas representam risco significativo de movimentação lateral:
- CVE-2026-57294 e CVE-2026-57295 (EC2 Fleet Plugin): expõem credenciais AWS para atacantes com permissão Overall/Read. Corrigido na versão 4.2.3.540.
- CVE-2026-57288 (Active Directory Plugin): injeção LDAP permite que atacantes não autenticados enumerem usuários do diretório. Corrigido na versão 2.42.
- CVE-2026-57289 (Bitbucket Push and Pull Request Plugin): desabilita validação SSL/TLS incondicionalmente, expondo bearer tokens à interceptação.
- CVE-2026-57287 (Job Configuration History Plugin): não oculta valores criptografados de secrets na visualização de configurações históricas.
- CVE-2026-57296 (External Workspace Manager Plugin): não rejeita segmentos de caminho
.., permitindo leitura de arquivos arbitrários no controller.
Plugins sem correção disponível
Quatro plugins afetados ainda não receberam patches. Administradores que os utilizam devem avaliar o risco de exposição e considerar a desativação temporária. A ausência de correção é particularmente preocupante no caso do OWASP ZAP Plugin e do Assembla Plugin, que oferecem vetores de ataque ativos — execução remota de código e XXE, respectivamente (Jenkins Security Advisory, 2026).
| Plugin | CVE | Tipo de falha |
|---|---|---|
| OWASP ZAP Plugin 1.0.7 | CVE-2026-57301 | RCE via configuração maliciosa |
| Assembla Plugin 1.4 | CVE-2026-57303 | Vulnerabilidade XXE |
| FitNesse Plugin | CVE-2026-57302 | Senhas armazenadas em texto puro |
| Zowe zDevOps Plugin | CVE-2026-57304 | Falta de verificação de permissão |
Cronologia do advisory
- 24 de junho de 2026: Jenkins publica advisory com 26 vulnerabilidades em 18 plugins. Dois bugs de alta severidade afetam o Script Security Plugin. Quatro plugins sem correção disponível (Jenkins Security Advisory).
- 24 de junho de 2026: Tenable publica plugin de detecção para as vulnerabilidades reportadas (Tenable, 2026).
- 25 de junho de 2026: CyberPress publica análise detalhada dos 26 bugs, incluindo detalhes técnicos de cada CVE (CyberPress, 2026).
O que fazer agora
Administradores do Jenkins devem atualizar imediatamente o Script Security Plugin para a versão 1402.1405.vc96e74964250 ou posterior, pois os bugs de sandbox bypass afetam o núcleo do modelo de segurança da plataforma. O Git client Plugin deve ser atualizado para 6.6.1, o EC2 Fleet Plugin para 4.2.3.540, e o External Workspace Manager Plugin para 1.4.0. Todos os demais plugins com correção disponível devem ser atualizados via Plugin Manager. Para os quatro plugins sem patch, a recomendação é desabilitá-los até que correções sejam publicadas (Jenkins Security Advisory, 2026).
Equipes que utilizam pipelines compartilhados com permissão de script para usuários externos devem priorizar a atualização do Script Security Plugin como ação imediata. A verificação de logs de execução de scripts Groovy com loops tipados (for (Type t in collection)) e o monitoramento de acessos anômalos ao Jenkins controller são medidas defensivas complementares recomendadas (CyberPress, 2026).