Jenkinsにおけるデシリアライゼーションの深刻な脆弱性が、脅威アクターによって現在積極的に悪用されています。2026年6月15日の早朝時点で、ハニーポットのテレメトリが実際の攻撃試行を捕捉しています。
Defusedによると、CVE-2026-53435はJenkins 2.567以前、およびJenkins LTS 2.555.2以前に影響するデシリアライゼーションの脆弱性です。
この脆弱性は、Jenkinsがconfig.xmlの送信を処理する方法に存在します。具体的には、攻撃者が細工したconfig.xmlのPOSTリクエストを通じて、Jenkinsコアまたはインストール済みプラグインで定義された任意の型をJenkinsコントローラーにデシリアライズさせることが可能です。
デシリアライゼーションが発動されると、攻撃者はHTTPリクエストの処理に介入・操作でき、サーバー上の実行フローを事実上乗っ取ることができます。
悪用に成功した場合、ユーザーのなりすまし、任意のアカウントによる不正なHTTPリクエストの送信、任意コード実行が可能なJenkins Script Consoleへのアクセス、さらにJenkinsコントローラーからの機密ファイルの直接読み取りが可能となります。
この脆弱性のCVSS v3スコアは9.0(AV:N/AC:L/Au:S/C:C/I:C/A:C)で、「Critical(深刻)」に分類されています。
脅威インテリジェンスのハニーポットは、2026年6月10日の脆弱性公表から数時間以内に悪用の試みを記録し始めました。
当社のデコイも6月15日の朝からインバウンドの攻撃トラフィックを検知しており、リクエストの発信元IPは194.247.182.44で、オランダを拠点とするホスティングプロバイダーAS57043 HOSTKEY B.V.に帰属しています。同プロバイダーは脅威アクターによる悪用が多いことで知られています。
キャプチャされたHTTPリクエストからは、典型的なパストラバーサルと認証情報の窃取を狙った痕跡が確認されています。
Authorizationヘッダーをデコードすると、デフォルトの認証情報ペアであるadmin:adminが得られます。これは、自動スキャナーがJenkinsの展開環境をデフォルト認証情報で探索した後、/etc/passwdの読み取りを試みていることを示しており、より深い侵害に向けた典型的な偵察ステップです。
この攻撃はポート443を標的にしており、正規のHTTPSトラフィックに紛れてネットワーク層の検知を回避しようとしていると考えられます。
Jenkinsはこの脆弱性に対処した修正バージョンをリリースしています。
即時のアップグレードが困難な場合、管理者はJenkinsコントローラーへのネットワークアクセスを制限してください。特に/job/*/config.xml APIエンドポイントへのアクセス制限、匿名アクセスの無効化、強力かつ固有の認証情報の適用、Script Consoleのアクセスログの監査を実施してください。
また、AS57043 HOSTKEY B.V.から発信されるトラフィックおよび特定の攻撃者IP194.247.182.44をフラグ設定してブロックすることも、即時の防御策として有効です。
同じ6月10日付のアドバイザリでは、関連するオープンリダイレクトの脆弱性2件(CVE-2026-53436およびCVE-2026-53437)も修正されていますが、いずれもCVE-2026-53435の深刻度には達していません。
公開からわずか数日でコンセプト実証コード(PoC)が公開された以上、悪用の機会は広く開かれた状態です。今すぐパッチを適用してください。
翻訳元: https://cyberpress.org/jenkins-rce-vulnerability/
