Jenkins versions 2.56 and earlier as well as 2.46.1 LTS and earlier are vulnerable to an unauthenticated remote code execution. An unauthenticated remote code execution vulnerability allowed attackers to transfer a serialized Java `SignedObject` object to the Jenkins CLI, that would be deserialized using a new `ObjectInputStream`, bypassing the existing blacklist-based protection mechanism. We're fixing this issue by adding `SignedObject` to the blacklist. We're also backporting the new HTTP CLI protocol from Jenkins 2.54 to LTS 2.46.2, and deprecating the remoting-based (i.e. Java serialization) CLI protocol, disabling it by default.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HJenkins
APPJenkins≤ 2.56≤ 2.46.1Oracle Communications Cloud Native Core Automated Test Suite
APPOracle1.9.0
CISA KEV — szczegółyi
- Dostawcai
- Jenkins
- Produkti
- Jenkins
- Data dodania do KEVi
- 2 października 2025
- Termin remediation (USA)i
- 23 października 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług chmurowych lub przerwij korzystanie z produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Jenkins zawiera podatność zdalnego wykonania kodu. Ta podatność mogłaby pozwolić atakującym na przesłanie serializowanego obiektu Java SignedObject do opartego na remoting'u Jenkins CLI, który byłby deserializowany przy użyciu nowego ObjectInputStream, omijając istniejący mechanizm ochrony oparty na blocklist'cie.
▸ Pokaż oryginał (EN)
Jenkins contains a remote code execution vulnerability. This vulnerability that could allowed attackers to transfer a serialized Java SignedObject object to the remoting-based Jenkins CLI, that would be deserialized using a new ObjectInputStream, bypassing the existing blocklist-based protection mechanism.
Powiązane podatności
Jenkins CLI – odczyt dowolnych plików przez path traversal bez uwierzytelnienia
A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) ...
In Spring Cloud Function versions 3.1.6, 3.2.2 and older unsupported versions, when using routing functionalit...
A code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier, LTS 2.13...
Jenkins 2.270 through 2.393 (both inclusive), LTS 2.277.1 through 2.375.3 (both inclusive) does not escape the...