CVE-2026-33002
CVE-2026-33002
En resumen
Jenkins versiones 2.442-2.554 y LTS 2.426.3-2.541.2 tienen un defecto en la validación de origen de solicitudes en el endpoint WebSocket de CLI, permitiendo a atacantes usar DNS rebinding para eludir controles de seguridad.
Detalle técnico
La vulnerabilidad existe en la lógica de validación de origen del endpoint CLI WebSocket, que se basa en los headers Host o X-Forwarded-Host para computar orígenes esperados. Un atacante puede explotar DNS rebinding para hacer que el navegador de la víctima resuelva un dominio malicioso a la dirección IP de Jenkins, eludiendo la validación de origen y permitiendo ejecución no autorizada de comandos a través del WebSocket.
Resumen generado y traducido por IA a partir de la descripción oficial.
Jenkins 2.442 through 2.554 (both inclusive), LTS 2.426.3 through LTS 2.541.2 (both inclusive) performs origin validation of requests made through the CLI WebSocket endpoint by computing the expected origin for comparison using the Host or X-Forwarded-Host HTTP request headers, making it vulnerable to DNS rebinding attacks that allow bypassing origin validation.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
Jenkins Project · Jenkins¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →