CVE-2026-57280
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
Wtyczka Jenkins Script Security w wersji 1402.v94c9ce464861 i wcześniejszych nie przechwytuje niejawnych konwersji typów stosowanych do elementów pętli for-each z typowaniem w skryptach Groovy działających w piaskownicy. Umożliwia to atakującym, którzy mogą dostarczyć takie skrypty, wywoływanie dowolnych konstruktorów i ominięcie ochrony piaskownicy.
Ocena ryzyka
Atakujący może ominąć mechanizm sandboxa i wykonać nieautoryzowany kod na serwerze Jenkins, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub zakłócenia działania infrastruktury CI/CD.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Script Security do wersji nowszej niż 1402.v94c9ce464861, która zawiera poprawkę blokującą niejawne konwersje typów w pętlach for-each.
Oryginalny opis (angielski, źródło NVD)
Jenkins Script Security Plugin 1402.v94c9ce464861 and earlier does not intercept the implicit type casts applied to the elements of typed for-each loops in sandboxed Groovy scripts, allowing attackers able to provide such scripts to invoke arbitrary constructors and bypass the sandbox protection.

