15.000 Jenkins-servers lopen risico door RCE-kwetsbaarheid (CVE-2025-53652)

Een nieuw rapport van VulnCheck onthult een kritieke command injection-fout (CVE-2025-53652) in de Jenkins Git Parameter-plugin. Ontdek hoe deze kwetsbaarheid, aanvankelijk beoordeeld als gemiddeld, hackers in staat stelt om op afstand code uit te voeren en duizenden niet-geverifieerde Jenkins-servers te hacken.

Een nieuwe beveiligingsanalyse van het bedrijf VulnCheck heeft aangetoond dat een kwetsbaarheid in de populaire Jenkins-automatiseringsserver gevaarlijker is dan eerder werd gedacht. De kwetsbaarheid, officieel geïdentificeerd als CVE-2025-53652 , werd aanvankelijk beoordeeld als een bedreiging van gemiddeld niveau, maar blijkt een ernstige aanval mogelijk te maken die bekendstaat als command injection. Dit zou hackers in staat kunnen stellen om volledige controle over een server te krijgen.

Ter informatie: Jenkins is een krachtige open-sourcetool die bedrijven gebruiken om taken in softwareontwikkeling te automatiseren. De kwetsbaarheid heeft specifiek betrekking op een functie genaamd de Git Parameter-plugin, waarmee ontwikkelaars eenvoudig verschillende versies of branches van code kunnen selecteren en gebruiken binnen hun geautomatiseerde taken.

Volgens het rapport van VulnCheck, dat gedeeld is met Hackread.com, zijn de beveiligingsinstellingen van ongeveer 15.000 Jenkins-servers op internet momenteel uitgeschakeld. Hierdoor zijn ze een makkelijk doelwit voor dit soort aanvallen.

Van de ruim 100.000 Jenkins-servers die op het internet zijn aangesloten, hebben er 15.000 authenticatie uitgeschakeld - FOFA (Bron: VulnCheck)

Het probleem zit hem in de manier waarop de Git Parameter-plugin omgaat met de informatie die gebruikers aan hem verstrekken. Wanneer een gebruiker een waarde invoert, gebruikt de plugin deze direct in een commando zonder grondig te controleren of deze veilig is. Dit stelt een ervaren aanvaller in staat om kwaadaardige commando's in het systeem te injecteren.

Het team van VulnCheck bevestigde dat ze deze fout konden gebruiken om hun eigen code op de server uit te voeren, een gevaarlijke aanval genaamd remote code execution (RCE). Ze konden deze methode gebruiken om controle te krijgen over een testserver en zelfs toegang te krijgen tot gevoelige informatie, zoals een hoofdsleutel.

Hoewel de officiële oplossing voor de kwetsbaarheid al is vrijgegeven, waarschuwt VulnCheck dat de patch handmatig door een systeembeheerder kan worden uitgeschakeld. Dit betekent dat een server nog steeds kwetsbaar kan zijn, zelfs na een update. Daarom heeft het beveiligingsbedrijf een speciale regel ontwikkeld om bedrijven te helpen bij het detecteren van pogingen om deze kwetsbaarheid te misbruiken.

Hoewel het bedrijf niet verwacht dat het lek op grote schaal zal worden uitgebuit, geven ze wel aan dat dit een zwakte is waar ervaren aanvallers waarde aan hechten voor specifieke, gerichte aanvallen of om dieper in het netwerk van een bedrijf door te dringen.