Se han identificado cuatro vulnerabilidades, incluyendo dos que afecta el núcleo Jenkins y una considerada crítica. Jenkins, el servidor de código abierto de integración continua, se enfrenta a varias vulnerabilidades de seguridad, el líder del proyecto Jenkins recomienda actualizar el núcleo y algunos plug-ins para solucionar los problemas.

Un aviso de seguridad publicado por el líder del proyecto, Kohsuke Kawaguchi, cita cuatro vulnerabilidades, dos de ellas afectan el núcleo de Jenkins. La primera vulnerabilidad ha sido considerada crítica. "La primera vulnerabilidad en el núcleo permite a los usuarios sin privilegios insertar datos, lo que puede llevar a la ejecución remota de código. Para que esta vulnerabilidad sea explotada, el atacante debe tener un acceso HTTP al registro maestro y debe tener acceso de lectura a Jenkins”, según el aviso de seguridad.

La segunda vulnerabilidad en el núcleo implica una vulnerabilidad cross-site scripting, que permite a un atacante crear una URL que apunta a Jenkins, con esto un atacante puede secuestrar la sesión de un usuario legítimo. Otras dos vulnerabilidades, que también suponen cross-site scripting afectan Violaciones e Integración continua del Juego. Los escaneos de violaciones a archivos XML construidas en el área de trabajo por medio del Plug-in Violations ofrece mejoras a la seguridad.

Para solucionar las vulnerabilidades del núcleo, los usuarios de la línea principal debe actualizar a Jenkins 1.482 mientras que usuarios LTS (Long-Term Support o soporte de término largo) deben actualizar a la versión 1.466.2. Para corregir el plug-in Violations, los usuarios deben actualizar a la versión 0.7.11 o posterior, mientras que el plug-in de juego CI (CI gmae) se puede solucionar mediante la actualización a 1.19 o posterior.

Kawaguchi dijo que las actualizaciones arreglan todos los agujeros conocidos. "Sin embargo, la naturaleza del juego es tal que pronto alguien encontrará una nueva vulnerabilidad (...) es sólo cuestión de tiempo. Así que invitamos a los usuarios, especialmente aquellos que corren Jenkins en un entorno de mayor riesgo (Internet en sitios públicos, entorno de seguridad sensible, etc) a vigilar los avisos de seguridad mediante la suscripción a la lista de correo o un feed RSS. "

Además, Kawaguchi disminuyó los temores sobre la vulnerabilidad resaltando sus limitantes. "Quienes están ejecutando Jenkins dentro de un firewall, que creo son la mayoría, cuentan con un factor de mitigación, debido a que una de las vulnerabilidades requiere que un atacante tenga acceso HTTP a Jenkins, mientras que la otra vulnerabilidad requiere que se conozca la dirección URL de cada Jenkins. Así que un ataque necesita en gran medida que el autor sea interno". Agregó: "No obstante, recomendamos a todos actualizar a una versión que contenga la corrección en el momento oportuno".