Katalog CVE

CVE-2026-57297

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Wtyczka Contrast Continuous Application Security dla Jenkinsa w wersji 3.11 i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na łączenie się z dowolnym adresem URL przy użyciu atakującego nazwy użytkownika, klucza API i klucza usługi.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataków typu Server-Side Request Forgery (SSRF) lub wycieku danych, ponieważ atakujący może wysyłać żądania do zewnętrznych serwerów, podszywając się pod autoryzowanego użytkownika.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Contrast Continuous Application Security do wersji nowszej niż 3.11, która zawiera poprawkę brakującego sprawdzania uprawnień.

Oryginalny opis (angielski, źródło NVD)

A missing permission check in Jenkins Contrast Continuous Application Security Plugin 3.11 and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using an attacker-specified username, API key, and service key.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS