Katalog CVE

CVE-2026-53441

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Podatność XSS w Jenkinsie pozwala atakującym z uprawnieniami Agent/Configure na wstrzyknięcie złośliwego skryptu przez nieuciekający opis przyczyny offline agenta ustawiany przez API POST config.xml. Dotyczy to wersji Jenkins 2.483 do 2.567 oraz LTS 2.492.1 do 2.555.2.

Ocena ryzyka

Atakujący może przechwycić sesje użytkowników, wykraść dane uwierzytelniające lub wykonać dowolne działania w kontekście ofiary, co zagraża poufności i integralności systemu CI/CD.

Rekomendacja

Niezwłocznie zaktualizuj Jenkinsa do wersji 2.568 lub nowszej (LTS 2.555.3 lub nowszej). Ogranicz uprawnienia Agent/Configure tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Jenkins 2.483 through 2.567 (both inclusive), LTS 2.492.1 through 2.555.2 (both inclusive) does not escape the user-provided description of a generic offline cause that could be set through the `POST config.xml` API, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Agent/Configure permission.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS