CVE-2026-57296
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 — wyżej niż 44% wszystkich znanych CVE
Streszczenie
Wtyczka Jenkins External Workspace Manager w wersji 1.3.2 i wcześniejszych nie odrzuca sekwencji przejścia ścieżki w niestandardowej ścieżce roboczej podanej do kroku exwsAllocate Pipeline, co pozwala atakującym z uprawnieniami Item/Configure na odczyt dowolnych plików w systemie plików kontrolera Jenkins.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do wrażliwych danych lub zdalnie wykonać kod, co stwarza poważne zagrożenie dla bezpieczeństwa systemu Jenkins.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby zlikwidować tę podatność oraz ograniczenie uprawnień do Item/Configure tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Jenkins External Workspace Manager Plugin 1.3.2 and earlier does not reject path traversal sequences in the custom workspace path provided to the exwsAllocate Pipeline step, allowing attackers with Item/Configure permission to read arbitrary files on the Jenkins controller file system, which can lead to remote code execution.

