Katalog CVE

CVE-2026-57296

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.60%

Percentyl 44 — wyżej niż 44% wszystkich znanych CVE

Streszczenie

Wtyczka Jenkins External Workspace Manager w wersji 1.3.2 i wcześniejszych nie odrzuca sekwencji przejścia ścieżki w niestandardowej ścieżce roboczej podanej do kroku exwsAllocate Pipeline, co pozwala atakującym z uprawnieniami Item/Configure na odczyt dowolnych plików w systemie plików kontrolera Jenkins.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do wrażliwych danych lub zdalnie wykonać kod, co stwarza poważne zagrożenie dla bezpieczeństwa systemu Jenkins.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby zlikwidować tę podatność oraz ograniczenie uprawnień do Item/Configure tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Jenkins External Workspace Manager Plugin 1.3.2 and earlier does not reject path traversal sequences in the custom workspace path provided to the exwsAllocate Pipeline step, allowing attackers with Item/Configure permission to read arbitrary files on the Jenkins controller file system, which can lead to remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS