Katalog CVE

CVE-2026-57288

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Wtyczka Active Directory dla Jenkinsa w wersji 2.41.1 i wcześniejszych nie odpowiednio koduje nazwy użytkownika przed zbudowaniem filtra wyszukiwania LDAP w ścieżce uwierzytelniania Windows (ADSI). Pozwala to nieuwierzytelnionym atakującym na wstrzykiwanie znaków wieloznacznych LDAP w celu enumeracji wpisów w katalogu oraz uwierzytelnienia się jako pasujący użytkownik, którego hasło znają, bez znajomości dokładnej nazwy użytkownika.

Ocena ryzyka

Ryzyko obejmuje możliwość enumeracji kont w Active Directory oraz nieautoryzowanego dostępu do Jenkinsa poprzez uwierzytelnienie jako dowolny użytkownik z znanym hasłem, co może prowadzić do eskalacji uprawnień i naruszenia poufności danych.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Active Directory do wersji nowszej niż 2.41.1. Do czasu aktualizacji zaleca się tymczasowe wyłączenie uwierzytelniania przez ADSI lub zastosowanie dodatkowych mechanizmów walidacji nazw użytkowników.

Oryginalny opis (angielski, źródło NVD)

Jenkins Active Directory Plugin 2.41.1 and earlier does not escape the user name before building the LDAP search filter in the Windows native (ADSI) authentication path, allowing unauthenticated attackers to inject LDAP wildcard characters to enumerate directory entries and to authenticate as a matching user whose password they know without knowing their exact user name.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS