CVE-2026-57284
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Wtyczka Jenkins Pipeline: Groovy w wersji 4331.v9d06ed4658ff i wcześniejszych nie ogranicza typów, które mogą być tworzone za pomocą generatora fragmentów potoku (Pipeline Snippet Generator). Umożliwia to atakującym tworzenie typów związanych z konfiguracją zadań lub systemu, innych niż kroki potoku.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanej modyfikacji konfiguracji zadań lub systemu Jenkins, co może prowadzić do eskalacji uprawnień, naruszenia integralności danych lub przejęcia kontroli nad serwerem CI/CD.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Jenkins Pipeline: Groovy do wersji nowszej niż 4331.v9d06ed4658ff, która zawiera odpowiednie ograniczenia typów w generatorze fragmentów potoku.
Oryginalny opis (angielski, źródło NVD)
Jenkins Pipeline: Groovy Plugin 4331.v9d06ed4658ff and earlier does not restrict the types that can be instantiated through the Pipeline Snippet Generator, allowing attackers to instantiate types related to job or system configuration other than Pipeline steps.

