Katalog CVE

CVE-2026-57306

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność CSRF w Jenkins Zowe zDevOps Plugin w wersji 1.1.3.50.ve350c9b_450b_1 i wcześniejszych umożliwia atakującemu połączenie z dowolnym adresem URL przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co prowadzi do przechwycenia poświadczeń przechowywanych w Jenkins.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży wrażliwych poświadczeń (np. haseł, tokenów API) przechowywanych w Jenkins, co może umożliwić atakującemu nieautoryzowany dostęp do innych systemów i zasobów.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Zowe zDevOps do najnowszej dostępnej wersji, która usuwa tę podatność, oraz wdrożenie mechanizmów ochrony CSRF, takich jak tokeny synchronizacyjne.

Oryginalny opis (angielski, źródło NVD)

A cross-site request forgery (CSRF) vulnerability in Jenkins Zowe zDevOps Plugin 1.1.3.50.ve350c9b_450b_1 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS