Dự án Jenkins vừa công bố cảnh báo bảo mật mới liên quan đến Jenkins core và plugin LoadNinja. Các lỗ hổng này có thể dẫn tới tạo tệp trái phép, lộ khóa API và thậm chí thực thi mã từ xa trên máy chủ điều khiển nếu hệ thống chưa được cập nhật.
Phạm vi ảnh hưởng
Jenkins vừa phát hành cảnh báo bảo mật ngày 18 tháng 3 năm 2026, trong đó xác nhận nhiều lỗ hổng ảnh hưởng Jenkins core và plugin LoadNinja. Theo thông tin từ Jenkins, các phiên bản Jenkins weekly đến 2.554, Jenkins LTS đến 2.541.2 và LoadNinja Plugin đến 2.1 đều nằm trong diện bị tác động. Tham chiếu định danh có thể đối chiếu tại NVD (CVE-2026-33001) và NVD (CVE-2026-33002).
CVE-2026-33001: Tạo tệp trái phép qua symbolic link khi giải nén
Nghiêm trọng nhất là CVE-2026-33001, một lỗ hổng cho phép tạo tệp trái phép thông qua cách Jenkins xử lý symbolic link khi giải nén tệp tar và tar.gz. Nếu kẻ tấn công có quyền cấu hình job hoặc kiểm soát tiến trình agent, chúng có thể ghi tệp ra ngoài thư mục mục tiêu, từ đó chèn script độc hại vào JENKINS_HOME hoặc thả plugin trái phép để tiến tới chiếm quyền thực thi trên máy chủ Jenkins.
CVE-2026-33002: DNS rebinding tại WebSocket CLI
Bên cạnh đó, CVE-2026-33002 được đánh giá mức cao do liên quan đến kỹ thuật DNS rebinding tại điểm cuối WebSocket CLI. Jenkins cho biết lỗ hổng này có thể bị khai thác khi máy chủ chạy qua HTTP thường, cho phép truy cập CLI WebSocket và tài khoản anonymous vẫn còn quyền đáng kể. Trong kịch bản xấu, kẻ tấn công có thể thực thi lệnh quản trị, thậm chí đi xa tới thực thi mã từ xa thông qua khả năng chạy Groovy.
Lỗ hổng trong plugin LoadNinja
Ngoài Jenkins core, plugin LoadNinja cũng bị phát hiện hai lỗ hổng mức trung bình là CVE-2026-33003 và CVE-2026-33004. Các phiên bản cũ lưu khóa API ở dạng không mã hóa trong file config.xml và không che giấu khóa tại giao diện cấu hình job, làm tăng nguy cơ lộ thông tin nhạy cảm cho người có quyền đọc mở rộng hoặc truy cập trực tiếp vào hệ thống tệp. Tham chiếu có thể xem tại NVD (CVE-2026-33003) và NVD (CVE-2026-33004).
Khuyến nghị cập nhật và giảm thiểu
Để khắc phục, Jenkins khuyến nghị quản trị viên nâng cấp ngay lên Jenkins 2.555 hoặc Jenkins LTS 2.541.3. Với LoadNinja Plugin, phiên bản an toàn được công bố là 2.2. Trong trường hợp chưa thể cập nhật ngay, nhóm vận hành nên bắt buộc xác thực trên controller, gỡ toàn bộ quyền của anonymous user và chỉ cho phép truy cập Jenkins qua HTTPS để giảm bề mặt tấn công.
Đợt cảnh báo lần này cho thấy hạ tầng CI/CD tiếp tục là mục tiêu nhạy cảm trong doanh nghiệp, đặc biệt khi Jenkins thường giữ quyền cao đối với mã nguồn, pipeline build và hệ thống triển khai. Với các tổ chức đang vận hành Jenkins nội bộ, việc rà soát cấu hình quyền và vá lỗi sớm cần được xem là ưu tiên bảo mật cấp bách.
