Platform
jenkins
Component
org.jenkins-ci.main:jenkins-core
Opgelost in
2.541.1
2.555
CVE-2026-33001 beschrijft een Arbitrary File Access kwetsbaarheid in Jenkins Core. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige bestanden te schrijven naar willekeurige locaties op het bestandssysteem, mits ze Item/Configure permissies hebben of agent processen kunnen controleren. De kwetsbaarheid treft versies van Jenkins Core tot en met 2.99, inclusief LTS versies tot en met 2.541.2. Een fix is beschikbaar in versie 2.555.
Een succesvolle exploitatie van CVE-2026-33001 kan leiden tot het compromitteren van de Jenkins controller. Aanvallers kunnen kwaadaardige scripts of plugins implementeren, wat resulteert in een volledige overname van het systeem. Dit kan leiden tot data-exfiltratie, denial-of-service, of verdere aanval op andere systemen binnen het netwerk. De impact is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot de Jenkins configuratie en deze kan manipuleren om kwaadaardige code uit te voeren. De blast radius is afhankelijk van de permissies van de gebruiker die Jenkins uitvoert en de configuratie van het systeem.
CVE-2026-33001 is openbaar bekend en de details van de kwetsbaarheid zijn beschikbaar. Er is geen indicatie van actieve exploitatie op dit moment, maar de publicatie van de kwetsbaarheid maakt exploitatie waarschijnlijk. De KEV score is nog niet bekend. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag, wat het risico op toekomstige exploitatie verhoogt.
Organizations heavily reliant on Jenkins for continuous integration and delivery are particularly at risk. Environments with lax file system permissions for the Jenkins user, or those utilizing Jenkins agents with broad access privileges, face a heightened threat. Shared hosting environments where multiple users have access to the Jenkins instance are also vulnerable.
• linux / server:
find /var/lib/jenkins/.jenkins/war/WEB-INF/lib -name '*.jar' -print0 | xargs -0 grep -i 'org.jenkins-ci.main:jenkins-core'• java / supply-chain: Examine Jenkins plugin dependencies for versions prior to 2.555. Check for unusual file creation patterns in Jenkins logs. • generic web: Monitor Jenkins access logs for unusual file upload activity, particularly involving .tar and .tar.gz archives.
disclosure
Exploit Status
EPSS
0.12% (31% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-33001 is het upgraden naar Jenkins Core versie 2.555 of hoger. Indien een upgrade direct niet mogelijk is, kan het beperken van de permissies van de gebruiker die Jenkins uitvoert helpen om de impact te verminderen. Controleer ook de configuratie van Jenkins om te zorgen dat er geen onnodige permissies zijn verleend. Overweeg het implementeren van een Web Application Firewall (WAF) om kwaadaardige archieven te blokkeren voordat ze Jenkins bereiken. Na de upgrade, verifieer de fix door het uploaden van een test .tar.gz archief en te controleren of er geen bestanden buiten de verwachte directory worden geschreven.
Werk Jenkins bij naar versie 2.555 of hoger, of naar versie 2.541.3 of hoger van de LTS-lijn. Dit corrigeert de kwetsbaarheid in de afhandeling van symbolische links tijdens het extraheren van .tar en .tar.gz bestanden. De update voorkomt dat aanvallers met Item/Configure permissies of controle over agent processen kwaadaardige scripts of plugins op de controller implementeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33001 is a HIGH severity vulnerability in Jenkins Core versions ≤2.99 that allows attackers to write files to arbitrary locations on the Jenkins controller's filesystem.
If you are running Jenkins Core versions 2.554 or earlier, or LTS versions 2.541.2 or earlier, you are affected by this vulnerability.
Upgrade Jenkins Core to version 2.555 or later to remediate the vulnerability. Consider restricting file system access permissions as an interim measure.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for future attacks.
Refer to the official Jenkins security advisory at [https://www.jenkins.io/security/advisories/](https://www.jenkins.io/security/advisories/) for detailed information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.