DevOps-спільнота отримала термінове попередження про критичну вразливість (CVE-2025-7704), названу “PipeDream”, у найпопулярніших плагінах для системи автоматизації Jenkins. Вразливість дозволяє неавтентифікованим зловмисникам виконувати довільний код (RCE) на серверах збірки. Це означає, що хакери можуть впроваджувати шкідливий код безпосередньо у програмне забезпечення компаній ще на етапі його створення, заражаючи кінцеві продукти до того, як вони потраплять до користувачів.

Масштаб загрози величезний, оскільки вразливі плагіни використовуються у 65% усіх інсталяцій Jenkins. Експерти з CloudBees та інших компаній вже фіксують спроби масового сканування мережі для пошуку вразливих серверів. Адміністраторам рекомендовано негайно оновити всі плагіни до останніх версій або тимчасово ізолювати сервери Jenkins від зовнішнього інтернету. Цей інцидент вкотре підкреслює крихкість ланцюгів постачання ПЗ (Software Supply Chain).