CVE-2026-57306
ŚrednieCVSS 4.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność CSRF w Jenkins Zowe zDevOps Plugin w wersji 1.1.3.50.ve350c9b_450b_1 i wcześniejszych umożliwia atakującemu połączenie z dowolnym adresem URL przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co prowadzi do przechwycenia poświadczeń przechowywanych w Jenkins.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży wrażliwych poświadczeń (np. haseł, tokenów API) przechowywanych w Jenkins, co może umożliwić atakującemu nieautoryzowany dostęp do innych systemów i zasobów.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Zowe zDevOps do najnowszej dostępnej wersji, która usuwa tę podatność, oraz wdrożenie mechanizmów ochrony CSRF, takich jak tokeny synchronizacyjne.
Oryginalny opis (angielski, źródło NVD)
A cross-site request forgery (CSRF) vulnerability in Jenkins Zowe zDevOps Plugin 1.1.3.50.ve350c9b_450b_1 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.

