Hack Alerta

Jenkins: DoS não autenticado via HTTP CLI exige atualização imediata

Por Redação Hack Alerta Publicado em 11/12/2025 08:01 Cyber ataques Tempo de leitura: 3 min

Vulnerabilidade CVE-2025-67635 permite DoS não autenticado via HTTP CLI em versões antigas do Jenkins. Atualize para 2.541 ou LTS 2.528.3; priorize instâncias expostas e monitore conexões e threads.

Jenkins: DoS não autenticado via HTTP CLI exige atualização imediata

Uma vulnerabilidade de alta severidade em instalações Jenkins expostas permite a negação de serviço sem necessidade de autenticação. A correção já foi publicada e equipes devem priorizar atualização de instâncias, especialmente as publicamente acessíveis.

Descoberta e escopo / O que mudou agora

Relatórios coletados e divulgados pelo veículo de origem indicam que a falha, registrada como CVE-2025-67635, afeta instalações que executam o servidor de automação Jenkins em versões anteriores a 2.541 (e LTS 2.528.3 para a linha de longo suporte). O problema permite que um ator remoto cause exaustão de recursos ao explorar o cliente de linha de comando HTTP (HTTP‑based CLI).

Vetor e exploração / Mitigações

Segundo a matéria, a falha decorre de tratamento inadequado de conexões quando streams do HTTP CLI ficam corrompidos. Conexões que se corrompem não são encerradas corretamente, permitindo que requisições malformadas mantenham threads ocupadas indefinidamente e, assim, provoquem consumo de recursos até a indisponibilidade do serviço.

As recomendações técnicas publicadas pela fonte são diretas:

  • Atualizar imediatamente para Jenkins 2.541 ou LTS 2.528.3, que incluem correções que encerram corretamente conexões HTTP‑CLI corrompidas.
  • Priorizar instâncias expostas à Internet ou redes não confiáveis.
  • Monitorar padrões de conexão e contagem de threads para identificar possíveis tentativas de exploração (conexões persistentes incomuns ou aumento atípico de threads).

Impacto e alcance / Setores afetados

A publicação alerta que a vulnerabilidade representa risco imediato para instalações que expõem o HTTP‑based CLI a redes não confiáveis. Embora não haja números agregados divulgados na matéria, o texto enfatiza o alcance potencial: Jenkins é amplamente utilizado em pipelines de CI/CD, e organizações que mantêm instâncias públicas ou mal segmentadas correm risco de interrupção de automação e pipelines críticos.

Limites das informações / O que falta saber

O relatório não fornece evidência pública de exploração em massa nem indicadores de comprometimento (IP, payloads ou assinaturas) além da descrição do vetor e da recomendação de patch. Não há informações sobre exploração ativa direcionada a alvos específicos, métricas de incidentes relatados nem listas de infraestrutura afetada publicadas na matéria.

Repercussão / Próximos passos

Para equipes de segurança e operações:

  • Aplicar as versões corrigidas citadas pela fonte o quanto antes.
  • Agregar controles compensatórios enquanto aplica patches: limitar o acesso ao HTTP‑based CLI por firewall/ACLs, colocar instâncias internas atrás de VPNs ou bastions e reduzir exposição pública.
  • Revisar telemetria de conexões e criação de alertas para padrões de thread/exaustão ou conexões HTTP anômalas ao endpoint CLI.

Se houver necessidade de investigação adicional, a fonte original (Cyber Security News) referencia o advisório de segurança do projeto Jenkins como ponto de partida para detalhes técnicos e notas de versão.

Baseado em publicação original de Cyber Security News
Tags: #jenkins #dos #cve-2025-67635 #http-cli #patch #ci-cd #atualizacao #seguranca #threads
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar