CVE-2026-53442
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nie szyfruje sekretów z przesyłanych formularzy POST config.xml przed ich zapisaniem w plikach konfiguracyjnych zadań. Sekrety są przechowywane w plikach config.xml w formie niezaszyfrowanej, co umożliwia ich przeglądanie użytkownikom z uprawnieniami Item/Extended Read lub dostępem do systemu plików kontrolera Jenkins.
Ocena ryzyka
Brak szyfrowania sekretów stwarza ryzyko ujawnienia wrażliwych informacji, co może prowadzić do nieautoryzowanego dostępu do zasobów i danych w organizacji. Użytkownicy z odpowiednimi uprawnieniami mogą łatwo odczytać te informacje.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Jenkins, która wprowadza szyfrowanie sekretów w plikach konfiguracyjnych. Dodatkowo, należy ograniczyć dostęp do systemu plików kontrolera Jenkins tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Jenkins 2.567 and earlier, LTS 2.555.2 and earlier does not encrypt secrets from POST config.xml submissions before storing them in job configurations unencrypted in job config.xml files on the Jenkins controller where they can be viewed by users with Item/Extended Read permission, or access to the Jenkins controller file system.

