CVE-2026-57304
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Wtyczka Assembla dla Jenkinsa w wersji 1.4 i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na łączenie się z adresem URL wskazanym przez atakującego przy użyciu podanej przez niego nazwy użytkownika i hasła.
Ocena ryzyka
Ryzyko polega na możliwości wykorzystania serwera Jenkins do nieautoryzowanych połączeń z zewnętrznymi systemami, co może prowadzić do wycieku danych lub dalszych ataków na infrastrukturę.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Assembla do najnowszej dostępnej wersji oraz ograniczenie uprawnień Overall/Read tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
A missing permission check in Jenkins Assembla Plugin 1.4 and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using an attacker-specified username and password.

