CVE-2026-57295
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność CSRF we wtyczce Jenkins EC2 Fleet w wersji 4.2.3.539.v8fedff2a_81c3 i wcześniejszych umożliwia atakującym połączenie z adresem URL wskazanym przez atakującego przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co pozwala na przechwycenie poświadczeń AWS przechowywanych w Jenkins.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży poświadczeń AWS przez atakującego, co może prowadzić do nieautoryzowanego dostępu do zasobów chmurowych organizacji i potencjalnie poważnych naruszeń bezpieczeństwa danych.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki EC2 Fleet do najnowszej dostępnej wersji, która usuwa tę podatność, oraz wdrożenie mechanizmów ochrony CSRF, takich jak tokeny synchronizacyjne.
Oryginalny opis (angielski, źródło NVD)
A cross-site request forgery (CSRF) vulnerability in Jenkins EC2 Fleet Plugin 4.2.3.539.v8fedff2a_81c3 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing AWS credentials stored in Jenkins.

