Katalog CVE

CVE-2026-57280

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

Wtyczka Jenkins Script Security w wersji 1402.v94c9ce464861 i wcześniejszych nie przechwytuje niejawnych konwersji typów stosowanych do elementów pętli for-each z typowaniem w skryptach Groovy działających w piaskownicy. Umożliwia to atakującym, którzy mogą dostarczyć takie skrypty, wywoływanie dowolnych konstruktorów i ominięcie ochrony piaskownicy.

Ocena ryzyka

Atakujący może ominąć mechanizm sandboxa i wykonać nieautoryzowany kod na serwerze Jenkins, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub zakłócenia działania infrastruktury CI/CD.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Script Security do wersji nowszej niż 1402.v94c9ce464861, która zawiera poprawkę blokującą niejawne konwersje typów w pętlach for-each.

Oryginalny opis (angielski, źródło NVD)

Jenkins Script Security Plugin 1402.v94c9ce464861 and earlier does not intercept the implicit type casts applied to the elements of typed for-each loops in sandboxed Groovy scripts, allowing attackers able to provide such scripts to invoke arbitrary constructors and bypass the sandbox protection.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS