CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2017-1000353

CVSS 9.8v3.1pub. 2018-01-29upd. 2025-11-05

Jenkins versions 2.56 and earlier as well as 2.46.1 LTS and earlier are vulnerable to an unauthenticated remote code execution. An unauthenticated remote code execution vulnerability allowed attackers to transfer a serialized Java `SignedObject` object to the Jenkins CLI, that would be deserialized using a new `ObjectInputStream`, bypassing the existing blacklist-based protection mechanism. We're fixing this issue by adding `SignedObject` to the blacklist. We're also backporting the new HTTP CLI protocol from Jenkins 2.54 to LTS 2.46.2, and deprecating the remoting-based (i.e. Java serialization) CLI protocol, disabling it by default.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Jenkins

    APP
    Jenkins
    ≤ 2.56≤ 2.46.1
  • Oracle Communications Cloud Native Core Automated Test Suite

    APP
    Oracle
    1.9.0

CISA KEV — szczegółyi

Dostawcai
Jenkins
Produkti
Jenkins
Data dodania do KEVi
2 października 2025
Termin remediation (USA)i
23 października 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług chmurowych lub przerwij korzystanie z produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Jenkins zawiera podatność zdalnego wykonania kodu. Ta podatność mogłaby pozwolić atakującym na przesłanie serializowanego obiektu Java SignedObject do opartego na remoting'u Jenkins CLI, który byłby deserializowany przy użyciu nowego ObjectInputStream, omijając istniejący mechanizm ochrony oparty na blocklist'cie.

tłumaczenie AI
Pokaż oryginał (EN)

Jenkins contains a remote code execution vulnerability. This vulnerability that could allowed attackers to transfer a serialized Java SignedObject object to the remoting-based Jenkins CLI, that would be deserialized using a new ObjectInputStream, bypassing the existing blocklist-based protection mechanism.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 23 października 2025
Tagi
RCEDeserializationCI/CD
CWE
Referencje

Powiązane podatności

CVE-2024-23897CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Jenkins CLI – odczyt dowolnych plików przez path traversal bez uwierzytelnienia

CVE-2022-22965CRITICAL9.8⚠ KEVten sam produkt

A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) ...

CVE-2022-22963CRITICAL9.8⚠ KEVten sam produkt

In Spring Cloud Function versions 3.1.6, 3.2.2 and older unsupported versions, when using routing functionalit...

CVE-2018-1000861CRITICAL9.8⚠ KEVten sam produkt

A code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier, LTS 2.13...

CVE-2023-27898CRITICAL9.6ten sam produkt

Jenkins 2.270 through 2.393 (both inclusive), LTS 2.277.1 through 2.375.3 (both inclusive) does not escape the...