Jenkins CVE-2026-53435: deserializzazione via config.xml sfruttata per il takeover del controller

L'alert ACN raccoglie otto nuove vulnerabilità in Jenkins, il diffuso server di automazione open source per le pipeline CI/CD, ma quella che è passata allo sfruttamento attivo è la CVE-2026-53435: una deserializzazione insicura nella gestione dei file config.xml che consente a un attaccante con privilegi limitati di iniettare oggetti malevoli e arrivare all'esecuzione di codice da remoto sul controller, fino al pieno controllo dell'istanza. Il punteggio CVSS è 8.8, con alcune fonti che lo collocano a 9.0; al di là del valore, l'effetto è il takeover del nodo che orchestra le build.

L'alert era stato pubblicato il 10 giugno 2026, ma il CSIRT Italia lo ha aggiornato il 15 giugno per recepire lo sfruttamento attivo in rete della CVE-2026-53435, osservato a partire dall'11 giugno secondo i ricercatori subito dopo la diffusione dell'advisory ufficiale. Jenkins ha risolto il difetto restringendo i tipi ammessi nella deserializzazione vulnerabile con le versioni weekly 2.568 e LTS 2.555.3. La CVE-2026-53441, l'altra falla a gravità alta dell'advisory, non risulta invece sfruttata.

Riguarda chi espone un controller Jenkins, soprattutto se raggiungibile dalla rete o con utenze a basso privilegio diffuse tra gli sviluppatori: un server di build compromesso è una testa di ponte ideale verso il codice sorgente, le credenziali e gli ambienti di produzione, con un evidente rischio di tipo supply chain anche per team di sviluppo di PA e PMI. La rapidità con cui lo sfruttamento ha seguito l'advisory rende l'aggiornamento prioritario.

• Versioni affette: Jenkins weekly fino alla 2.567 inclusa e LTS fino alla 2.555.2 inclusa.
• Azione raccomandata: aggiornare a Jenkins weekly 2.568 o LTS 2.555.3 (o successive); limitare l'esposizione in rete del controller e rivedere i privilegi delle utenze, verificando log e job per attività anomale.

Fonti: ACN, Jenkins, NVD, Cyber Press