Uma vulnerabilidade crítica de execução remota de código no Jenkins, identificada como CVE-2026-53435, está sendo explorada ativamente por atacantes, segundo dados de honeypots confirmados em 15 de junho de 2026. A falha, avaliada em 8,8 no CVSS, afeta as versões 2.567 e anteriores e permite a tomada total dos controladores de CI/CD.

Como a falha funciona

O CVE-2026-53435 é uma vulnerabilidade de desserialização no Jenkins, o servidor de automação open source usado em milhares de pipelines de integração e entrega contínuas em todo o mundo. A falha está na forma como o Jenkins processa um arquivo config.xml enviado por um usuário. O servidor desserializa tipos arbitrários controlados pelo atacante a partir desse envio, o que permite sequestrar o fluxo da requisição e executar código arbitrário no controlador.

Após explorar a falha, um atacante autenticado pode se passar por qualquer outro usuário do sistema e enviar requisições HTTP em nome dele. Mais grave ainda, o invasor pode acessar o Script Console do Jenkins para executar comandos arbitrários e ler arquivos sensíveis armazenados no controlador. Entre os dados expostos estão chaves SSH, credenciais de serviços em nuvem, tokens de acesso e segredos internos da configuração de build. O Centro de Cibersegurança da Bélgica classificou a vulnerabilidade como de risco alto e emitiu um alerta recomendando a aplicação imediata do patch.

Ataques confirmados em honeypots

A exploração ativa foi confirmada pela empresa de inteligência de ameaças Defused. Os honeypots da empresa começaram a registrar tentativas de ataque horas após a divulgação da vulnerabilidade pelo projeto Jenkins. As observações foram publicadas na conta @DefusedCyber no X (antigo Twitter) e ligam a atividade diretamente ao CVE-2026-53435. A janela de ataque começou nas primeiras horas de 15 de junho de 2026.

O National Vulnerability Database (NVD), mantido pelo NIST, catalogou a vulnerabilidade com a descrição oficial confirmando que atacantes podem forçar o Jenkins a desserializar tipos arbitrários definidos no núcleo do Jenkins ou em plugins a partir de uma fonte controlada pelo invasor. A Positive Technologies também publicou detalhes técnicos do CVE-2026-53435 em seu banco de dados público de vulnerabilidades. Uma prova de conceito (PoC) foi divulgada em comunidades de segurança, aumentando o risco de exploração em larga escala por grupos criminosos.

Impacto em pipelines de CI

O Jenkins é uma peça central em muitas operações de desenvolvimento de software, orquestrando compilação, testes e implantação automatizada de aplicações. Um controlador comprometido pode dar aos atacantes acesso a repositórios de código-fonte, chaves de produção, credenciais de serviços em nuvem e artefatos de build assinados. Isso transforma uma única vulnerabilidade em um vetor de ataque à cadeia de suprimentos de software, onde o código malicioso pode ser injetado em atualizações legítimas distribuídas para milhares de usuários finais.

Empresas que mantêm controladores Jenkins expostos à internet correm risco particularmente alto. A HarborGuard, empresa de segurança de containers, reportou que sua detecção para o CVE-2026-53435 dispara contra qualquer imagem de container que inclua uma versão afetada do Jenkins, cobrindo tanto imagens oficiais upstream quanto variantes construídas internamente pelas organizações.

Versão do Jenkins Status Severidade (CVSS)
2.567 e anteriores Vulnerável — correção urgente 8,8 (alto)
LTS 2.555.2 e anteriores Vulnerável — correção urgente 8,8 (alto)
Versões corrigidas (pós-10 jun.) Seguras

Versões afetadas e correção

As versões afetadas são Jenkins 2.567 e anteriores, além da linha LTS (suporte de longo prazo) 2.555.2 e anteriores. Todas as equipes que executam essas versões devem atualizar imediatamente para a versão corrigida. O comunicado de segurança de 10 de junho de 2026 também resolve duas falhas de redirecionamento aberto, rastreadas como CVE-2026-53436 e CVE-2026-53437, embora nenhuma delas alcance a severidade do CVE-2026-53435.

Para equipes que não conseguem atualizar de imediato, a orientação é restringir o acesso de rede ao controlador Jenkins. Isso significa limitar quem pode acessar a interface administrativa e, principalmente, o Script Console, que é o vetor principal de execução de código pós-exploração. Auditorias em contas de usuário e logs do Script Console devem ser realizadas para identificar sinais de abuso ou acesso não autorizado.

Capacidade do atacante após exploração
Representar qualquer usuário do Jenkins
Enviar requisições HTTP em nome de outros usuários
Acessar o Script Console e executar código arbitrário
Ler arquivos sensíveis, chaves SSH e credenciais
Comprometer a cadeia de suprimentos de software

Como se proteger agora

A ação prioritária é aplicar a correção do Jenkins sem demora. O comunicado oficial foi publicado em 10 de junho de 2026 e as versões corrigidas já estão disponíveis para download no site do projeto. A recomendação de segurança é tratar a atualização como uma implantação de mesma prioridade, não como um item para a próxima janela de manutenção programada.

Equipes de segurança devem verificar se seus controladores Jenkins estão expostos à internet desnecessariamente. Controladores de CI/CD devem estar atrás de redes privadas virtuais ou arquiteturas de confiança zero, nunca diretamente acessíveis por HTTP sem camadas adicionais de proteção. Monitore logs de acesso ao Script Console, revise permissões de usuários com privilégios administrativos e investigue qualquer atividade anômala de desserialização nos logs do controlador. Considere também rotacionar credenciais e chaves SSH armazenadas no Jenkins caso haja suspeita de comprometimento, já que a vulnerabilidade permite a leitura desses segredos.

Fontes e referências