Jenkins 任意文件寫入漏洞預(yù)警（CVE-2026-33001）

2026-03-20

一、概要

近日，華為云關(guān)注到 Jenkins 官方發(fā)布安全公告，披露 Jenkins 2.554及更早版本，LTS 2.541.2及更早版本在解壓歸檔文件（如 .tar, .tar.gz）時，沒有正確處理文件中的符號鏈接，允許攻擊者通過特制的歸檔包，向 Jenkins 服務(wù)器文件系統(tǒng)的任意位置寫入文件。

Jеnkin? 是一個開源的自動化服務(wù)器，廣泛用于自動化各種任務(wù)，包括構(gòu)建、測試和部署軟件。華為云提醒使用 Jеnkin? 的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.jenkins.io/security/advisory/2026-03-18/#SECURITY-3657

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Jenkins <= 2.554

Jenkins LTS <= 2.541.2

安全版本：

Jenkins 2.555  

Jenkins LTS 2.541.3

四、漏洞處置

1.目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://www.jenkins.io/download/

2.緩解措施：

如果受影響的用戶無法及時升級，建議嚴(yán)格限制 Item/Configure 權(quán)限的分配，只允許受信任的用戶修改任務(wù)配置。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。