Jenkins 远程代码执行漏洞(CVE-2026-53435)

北京赛克艾威科技有限公司 2026-06-10


  • 漏洞编号:CVE-2026-53435
  • 漏洞等级:高危
  • 漏洞标签:POC公开、在野利用、关键漏洞
  • 发布时间:2026-06-10

漏洞描述

Jenkins 是一个开源的自动化服务器,广泛用于持续集成和持续交付\(CI/CD\)流程。它支持自动化构建、测试和部署软件项目,通过插件生态系统扩展功能,帮助开发团队实现DevOps实践。该软件提供Web界面管理作业和节点,支持分布式构建和丰富的API接口,是企业级软件开发流水线的核心组件。在受影响版本中,系统未能充分验证用户提交的config.xml文件中的数据类型,导致攻击者可以注入恶意序列化对象。攻击者通过构造特制的配置文件提交,诱导应用程序反序列化攻击者控制的任意类类型。成功利用后,攻击者能够模拟任意用户身份执行HTTP请求,进而完全控制目标系统,包括执行系统命令和访问敏感文件。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/468050