เรื่องเล่าจากห้องเซิร์ฟเวอร์: ช่องโหว่ Jenkins ที่อาจเปิดประตูให้แฮกเกอร์เข้ายึดระบบ
Jenkins เป็นเครื่องมือโอเพ่นซอร์สยอดนิยมที่ใช้ในงาน DevOps และการทำ CI/CD ทั่วโลก ล่าสุดมีการค้นพบช่องโหว่ร้ายแรงในปลั๊กอิน Git Parameter ซึ่งถูกระบุว่าเป็น CVE-2025-53652 โดยบริษัท VulnCheck พบว่าแม้ช่องโหว่นี้จะถูกจัดระดับ “กลาง” แต่จริง ๆ แล้วสามารถนำไปสู่การโจมตีแบบ Remote Code Execution (RCE) ได้
ช่องโหว่นี้เกิดจากการที่ปลั๊กอิน Git Parameter รับค่าจากผู้ใช้โดยไม่ตรวจสอบความปลอดภัย แล้วนำไปใช้ในคำสั่ง Git โดยตรง เช่น การเลือก branch ที่จะ checkout หากผู้ใช้กรอกค่าเป็นคำสั่ง shell เช่น master; rm -rf / ระบบจะนำไปใช้ทันทีโดยไม่มีการกรอง ทำให้แฮกเกอร์สามารถรันคำสั่งอันตรายบนเซิร์ฟเวอร์ Jenkins ได้
ที่น่าตกใจคือ มี Jenkins เซิร์ฟเวอร์กว่า 15,000 เครื่องที่เปิดให้เข้าถึงโดยไม่ต้องล็อกอิน ซึ่งหมายความว่าแฮกเกอร์สามารถโจมตีได้ทันทีหากรู้ URL และโครงสร้างของระบบ Jenkins ที่ใช้ปลั๊กอินนี้
แม้จะมีแพตช์ออกมาแล้ว แต่ VulnCheck เตือนว่าแพตช์สามารถถูกปิดการทำงานโดยผู้ดูแลระบบได้ ทำให้ระบบยังคงเสี่ยงอยู่ และแนะนำให้ใช้กฎตรวจจับพิเศษเพื่อป้องกันการโจมตี
ช่องโหว่ CVE-2025-53652 ถูกค้นพบในปลั๊กอิน Git Parameter ของ Jenkins
เป็นช่องโหว่แบบ command injection ที่นำไปสู่ RCE ได้
มี Jenkins เซิร์ฟเวอร์กว่า 15,000 เครื่องที่เปิดให้เข้าถึงโดยไม่ต้องล็อกอิน
ทำให้แฮกเกอร์สามารถโจมตีได้ทันที
ช่องโหว่เกิดจากการนำค่าที่ผู้ใช้กรอกไปใช้ในคำสั่ง Git โดยไม่กรอง
เช่น การกรอก branch name ที่มีคำสั่ง shell แฝงอยู่
VulnCheck ยืนยันว่าใช้ช่องโหว่นี้เพื่อเข้าถึงเซิร์ฟเวอร์และข้อมูลสำคัญได้
เช่น master key และ environment variables
มีแพตช์ออกมาแล้วในเวอร์ชัน Git Parameter Plugin 444
เพิ่มการตรวจสอบค่าที่ผู้ใช้กรอกให้ตรงกับตัวเลือกที่กำหนดไว้
VulnCheck สร้างกฎพิเศษเพื่อช่วยตรวจจับการโจมตีจากช่องโหว่นี้
แม้จะมีแพตช์ แต่การตรวจจับยังจำเป็น
ช่องโหว่นี้ถูกเปิดเผยพร้อมกับอีก 30 ช่องโหว่ใน Jenkins Plugins เมื่อ 9 ก.ค. 2025
แสดงให้เห็นถึงความเสี่ยงในระบบ Jenkins ที่ใช้ปลั๊กอินจำนวนมาก
Git เป็นเครื่องมือที่สามารถใช้เป็น GTFObin ได้
หมายถึงสามารถใช้ Git เพื่อรันคำสั่งอันตรายได้ในบางบริบท
การโจมตีสามารถทำได้ผ่าน HTTP POST โดยใช้ Jenkins-Crumb และ cookie
ทำให้สามารถส่งคำสั่ง reverse shell ได้จากภายนอก
การโจมตีนี้ไม่ต้องใช้สิทธิ์ระดับสูง หากระบบเปิดให้เข้าถึงโดยไม่ล็อกอิน
เพิ่มความเสี่ยงต่อองค์กรที่ตั้งค่า Jenkins ไม่ปลอดภัย
https://hackread.com/jenkins-servers-risk-rce-vulnerability-cve-2025-53652/
Jenkins เป็นเครื่องมือโอเพ่นซอร์สยอดนิยมที่ใช้ในงาน DevOps และการทำ CI/CD ทั่วโลก ล่าสุดมีการค้นพบช่องโหว่ร้ายแรงในปลั๊กอิน Git Parameter ซึ่งถูกระบุว่าเป็น CVE-2025-53652 โดยบริษัท VulnCheck พบว่าแม้ช่องโหว่นี้จะถูกจัดระดับ “กลาง” แต่จริง ๆ แล้วสามารถนำไปสู่การโจมตีแบบ Remote Code Execution (RCE) ได้
ช่องโหว่นี้เกิดจากการที่ปลั๊กอิน Git Parameter รับค่าจากผู้ใช้โดยไม่ตรวจสอบความปลอดภัย แล้วนำไปใช้ในคำสั่ง Git โดยตรง เช่น การเลือก branch ที่จะ checkout หากผู้ใช้กรอกค่าเป็นคำสั่ง shell เช่น master; rm -rf / ระบบจะนำไปใช้ทันทีโดยไม่มีการกรอง ทำให้แฮกเกอร์สามารถรันคำสั่งอันตรายบนเซิร์ฟเวอร์ Jenkins ได้
ที่น่าตกใจคือ มี Jenkins เซิร์ฟเวอร์กว่า 15,000 เครื่องที่เปิดให้เข้าถึงโดยไม่ต้องล็อกอิน ซึ่งหมายความว่าแฮกเกอร์สามารถโจมตีได้ทันทีหากรู้ URL และโครงสร้างของระบบ Jenkins ที่ใช้ปลั๊กอินนี้
แม้จะมีแพตช์ออกมาแล้ว แต่ VulnCheck เตือนว่าแพตช์สามารถถูกปิดการทำงานโดยผู้ดูแลระบบได้ ทำให้ระบบยังคงเสี่ยงอยู่ และแนะนำให้ใช้กฎตรวจจับพิเศษเพื่อป้องกันการโจมตี
ช่องโหว่ CVE-2025-53652 ถูกค้นพบในปลั๊กอิน Git Parameter ของ Jenkins
เป็นช่องโหว่แบบ command injection ที่นำไปสู่ RCE ได้
มี Jenkins เซิร์ฟเวอร์กว่า 15,000 เครื่องที่เปิดให้เข้าถึงโดยไม่ต้องล็อกอิน
ทำให้แฮกเกอร์สามารถโจมตีได้ทันที
ช่องโหว่เกิดจากการนำค่าที่ผู้ใช้กรอกไปใช้ในคำสั่ง Git โดยไม่กรอง
เช่น การกรอก branch name ที่มีคำสั่ง shell แฝงอยู่
VulnCheck ยืนยันว่าใช้ช่องโหว่นี้เพื่อเข้าถึงเซิร์ฟเวอร์และข้อมูลสำคัญได้
เช่น master key และ environment variables
มีแพตช์ออกมาแล้วในเวอร์ชัน Git Parameter Plugin 444
เพิ่มการตรวจสอบค่าที่ผู้ใช้กรอกให้ตรงกับตัวเลือกที่กำหนดไว้
VulnCheck สร้างกฎพิเศษเพื่อช่วยตรวจจับการโจมตีจากช่องโหว่นี้
แม้จะมีแพตช์ แต่การตรวจจับยังจำเป็น
ช่องโหว่นี้ถูกเปิดเผยพร้อมกับอีก 30 ช่องโหว่ใน Jenkins Plugins เมื่อ 9 ก.ค. 2025
แสดงให้เห็นถึงความเสี่ยงในระบบ Jenkins ที่ใช้ปลั๊กอินจำนวนมาก
Git เป็นเครื่องมือที่สามารถใช้เป็น GTFObin ได้
หมายถึงสามารถใช้ Git เพื่อรันคำสั่งอันตรายได้ในบางบริบท
การโจมตีสามารถทำได้ผ่าน HTTP POST โดยใช้ Jenkins-Crumb และ cookie
ทำให้สามารถส่งคำสั่ง reverse shell ได้จากภายนอก
การโจมตีนี้ไม่ต้องใช้สิทธิ์ระดับสูง หากระบบเปิดให้เข้าถึงโดยไม่ล็อกอิน
เพิ่มความเสี่ยงต่อองค์กรที่ตั้งค่า Jenkins ไม่ปลอดภัย
https://hackread.com/jenkins-servers-risk-rce-vulnerability-cve-2025-53652/
🧨🛠️ เรื่องเล่าจากห้องเซิร์ฟเวอร์: ช่องโหว่ Jenkins ที่อาจเปิดประตูให้แฮกเกอร์เข้ายึดระบบ
Jenkins เป็นเครื่องมือโอเพ่นซอร์สยอดนิยมที่ใช้ในงาน DevOps และการทำ CI/CD ทั่วโลก ล่าสุดมีการค้นพบช่องโหว่ร้ายแรงในปลั๊กอิน Git Parameter ซึ่งถูกระบุว่าเป็น CVE-2025-53652 โดยบริษัท VulnCheck พบว่าแม้ช่องโหว่นี้จะถูกจัดระดับ “กลาง” แต่จริง ๆ แล้วสามารถนำไปสู่การโจมตีแบบ Remote Code Execution (RCE) ได้
ช่องโหว่นี้เกิดจากการที่ปลั๊กอิน Git Parameter รับค่าจากผู้ใช้โดยไม่ตรวจสอบความปลอดภัย แล้วนำไปใช้ในคำสั่ง Git โดยตรง เช่น การเลือก branch ที่จะ checkout หากผู้ใช้กรอกค่าเป็นคำสั่ง shell เช่น master; rm -rf / ระบบจะนำไปใช้ทันทีโดยไม่มีการกรอง ทำให้แฮกเกอร์สามารถรันคำสั่งอันตรายบนเซิร์ฟเวอร์ Jenkins ได้
ที่น่าตกใจคือ มี Jenkins เซิร์ฟเวอร์กว่า 15,000 เครื่องที่เปิดให้เข้าถึงโดยไม่ต้องล็อกอิน ซึ่งหมายความว่าแฮกเกอร์สามารถโจมตีได้ทันทีหากรู้ URL และโครงสร้างของระบบ Jenkins ที่ใช้ปลั๊กอินนี้
แม้จะมีแพตช์ออกมาแล้ว แต่ VulnCheck เตือนว่าแพตช์สามารถถูกปิดการทำงานโดยผู้ดูแลระบบได้ ทำให้ระบบยังคงเสี่ยงอยู่ และแนะนำให้ใช้กฎตรวจจับพิเศษเพื่อป้องกันการโจมตี
✅ ช่องโหว่ CVE-2025-53652 ถูกค้นพบในปลั๊กอิน Git Parameter ของ Jenkins
➡️ เป็นช่องโหว่แบบ command injection ที่นำไปสู่ RCE ได้
✅ มี Jenkins เซิร์ฟเวอร์กว่า 15,000 เครื่องที่เปิดให้เข้าถึงโดยไม่ต้องล็อกอิน
➡️ ทำให้แฮกเกอร์สามารถโจมตีได้ทันที
✅ ช่องโหว่เกิดจากการนำค่าที่ผู้ใช้กรอกไปใช้ในคำสั่ง Git โดยไม่กรอง
➡️ เช่น การกรอก branch name ที่มีคำสั่ง shell แฝงอยู่
✅ VulnCheck ยืนยันว่าใช้ช่องโหว่นี้เพื่อเข้าถึงเซิร์ฟเวอร์และข้อมูลสำคัญได้
➡️ เช่น master key และ environment variables
✅ มีแพตช์ออกมาแล้วในเวอร์ชัน Git Parameter Plugin 444
➡️ เพิ่มการตรวจสอบค่าที่ผู้ใช้กรอกให้ตรงกับตัวเลือกที่กำหนดไว้
✅ VulnCheck สร้างกฎพิเศษเพื่อช่วยตรวจจับการโจมตีจากช่องโหว่นี้
➡️ แม้จะมีแพตช์ แต่การตรวจจับยังจำเป็น
✅ ช่องโหว่นี้ถูกเปิดเผยพร้อมกับอีก 30 ช่องโหว่ใน Jenkins Plugins เมื่อ 9 ก.ค. 2025
➡️ แสดงให้เห็นถึงความเสี่ยงในระบบ Jenkins ที่ใช้ปลั๊กอินจำนวนมาก
✅ Git เป็นเครื่องมือที่สามารถใช้เป็น GTFObin ได้
➡️ หมายถึงสามารถใช้ Git เพื่อรันคำสั่งอันตรายได้ในบางบริบท
✅ การโจมตีสามารถทำได้ผ่าน HTTP POST โดยใช้ Jenkins-Crumb และ cookie
➡️ ทำให้สามารถส่งคำสั่ง reverse shell ได้จากภายนอก
✅ การโจมตีนี้ไม่ต้องใช้สิทธิ์ระดับสูง หากระบบเปิดให้เข้าถึงโดยไม่ล็อกอิน
➡️ เพิ่มความเสี่ยงต่อองค์กรที่ตั้งค่า Jenkins ไม่ปลอดภัย
https://hackread.com/jenkins-servers-risk-rce-vulnerability-cve-2025-53652/
0 ความคิดเห็น
0 การแบ่งปัน
52 มุมมอง
0 รีวิว
English