文章总结： Jenkins2026年安全公告披露多个高危漏洞，包括反序列化漏洞CVE-2026-53435（允许任意代码执行）、开放重定向漏洞CVE-2026-53436/53437、存储型XSS漏洞CVE-2026-53441及权限缺失导致的数据泄露漏洞。攻击者可利用这些漏洞窃取凭证、中断任务或控制服务器。官方建议立即升级至Jenkins2.568或LTS2.555.3版本以修复风险。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,WEB安全,安全运营,解决方案

重要安全公告：Jenkins 2026 年关键漏洞需立即修补

sec随谈 sec随谈

sec随谈

2026年6月11日 10:52 北京

在小说阅读器读本章

去阅读

Jenkins 2026 年安全公告近期披露了多个严重漏洞，这些危险缺陷威胁着全球无数活跃的开发流水线。安全专家警告，未打补丁的系统面临被主动利用的风险，系统管理员必须立即采取行动，保护关键基础设施的安全。

严重的反序列化漏洞

最关键的威胁涉及一个高危反序列化漏洞，编号为 CVE-2026-53435。该软件未能对攻击者控制的 config.xml 提交内容进行适当过滤。根据官方公告，”Jenkins 在多个场景中使用序列化与反序列化机制，例如代理与控制器之间的通信”。

恶意攻击者可轻松利用这一过程，仅需具备基本的 Overall/Read 权限即可发起攻击。公告明确指出，”攻击者可以冒充任意用户并以其身份发送 HTTP 请求”。最终，黑客可直接在控制器上执行任意代码并读取敏感文件。

危险的开放重定向与 XSS 漏洞

此外，该软件还存在多个中危级别的开放重定向漏洞，分别编号为 CVE-2026-53436 和 CVE-2026-53437。登录流程在 URL 验证过程中对相对路径段处理不当，攻击者可通过插入制表符或换行符绕过标准安全过滤器，轻易诱导用户访问恶意外部网站，使钓鱼攻击对毫无戒备的工程团队极为有效。

存储型跨站脚本威胁

最新的 Jenkins 2026 年安全公告还重点指出了一个严重的存储型 XSS 漏洞，编号为 CVE-2026-53441，影响节点离线原因描述功能。系统将用户提供的文本以原始 HTML 形式渲染，导致拥有 Agent/Configure 权限的攻击者可注入恶意脚本。官方报告确认，”这导致了一个存储型跨站脚本（XSS）漏洞”，黑客可借此入侵管理员会话并窃取宝贵的身份验证令牌。

权限缺失与敏感信息暴露

另一个严重问题涉及多个端点的权限验证缺失。CVE-2026-53438 允许未授权用户取消活跃的队列项目，攻击者只需具备 Item/Cancel 权限即可完全中断计划任务。类似地，CVE-2026-53439 将敏感用户资料信息暴露给未授权的查看者，攻击者无需适当授权即可获取其他用户配置的时区信息，并枚举同事的隐藏视图名称。这些隐私泄露的叠加效应严重危害了内部运营安全。

明文密钥暴露

此外，软件还通过特定端点响应无意间暴露了明文密钥，安全团队将这一严重数据泄露漏洞编号为 CVE-2026-53442。当系统处理 config.xml 提交内容时，会将文件直接写入活跃磁盘，后续的 GET 请求便会将这些未加密的原始文件直接返回给用户。公告明确警告，”通过 POST config.xml 提交的明文密钥会持久保存在磁盘上”。因此，任何持有 Item/Extended Read 权限的用户均可窃取关键密码和 API 密钥。

即时缓解策略

幸运的是，开发团队近期已发布重要安全补丁，用户必须立即升级系统以防止未授权网络访问。Jenkins 周版本用户需更新至 2.568 版本，LTS 用户则需直接升级至 2.555.3 版本。请仔细查阅完整的漏洞详情，可在线阅读 Jenkins 官方安全公告。立即应用这些重要软件更新，保护您的持续集成流水线安全！

参考链接：

https://www.jenkins.io/security/advisory/2026-06-10/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《重要安全公告：Jenkins 2026 年关键漏洞需立即修补》