CVE-2026-33002
CVE-2026-33002
Em resumo
Jenkins versões 2.442-2.554 e LTS 2.426.3-2.541.2 possuem uma falha na validação da origem das requisições no endpoint WebSocket da CLI, permitindo que atacantes usem DNS rebinding para contornar as verificações de segurança.
Detalhe técnico
A vulnerabilidade está na lógica de validação de origem do endpoint CLI WebSocket, que utiliza os headers Host ou X-Forwarded-Host para computar origens esperadas. Um atacante pode explorar DNS rebinding para fazer o navegador da vítima resolver um domínio malicioso para o endereço IP do Jenkins, contornando a validação de origem e possibilitando execução não autorizada de comandos via WebSocket.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Jenkins 2.442 through 2.554 (both inclusive), LTS 2.426.3 through LTS 2.541.2 (both inclusive) performs origin validation of requests made through the CLI WebSocket endpoint by computing the expected origin for comparison using the Host or X-Forwarded-Host HTTP request headers, making it vulnerable to DNS rebinding attacks that allow bypassing origin validation.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
Jenkins Project · JenkinsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →