CVE-2026-57302
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wtyczka Jenkins FitNesse w wersji 1.36 i wcześniejszych przechowuje hasła w postaci niezaszyfrowanej w plikach konfiguracyjnych zadań (config.xml) na kontrolerze Jenkinsa. Hasła te mogą być odczytane przez użytkowników posiadających uprawnienia Extended Read lub dostęp do systemu plików kontrolera.
Ocena ryzyka
Ryzyko polega na możliwości ujawnienia haseł przechowywanych w konfiguracji zadań, co może prowadzić do nieautoryzowanego dostępu do systemów zewnętrznych lub eskalacji uprawnień w środowisku Jenkins.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki FitNesse do najnowszej dostępnej wersji oraz zmianę wszystkich haseł, które mogły być przechowywane w plikach config.xml. Należy również ograniczyć uprawnienia Extended Read i dostęp do systemu plików kontrolera.
Oryginalny opis (angielski, źródło NVD)
Jenkins FitNesse Plugin 1.36 and earlier stores passwords unencrypted in job config.xml files on the Jenkins controller, where they can be viewed by users with Extended Read permission or access to the Jenkins controller file system.

