Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-57303
Wysokie

Wtyczka Assembla dla Jenkins w wersji 1.4 i wcześniejszych nie konfiguruje swojego parsera XML w celu zapobiegania atakom XXE, co pozwala atakującym na kontrolowanie odpowiedzi serwera Assembla i wydobywanie tajemnic z kontrolera Jenkins.

CVE-2026-57302
Średnie

Wtyczka Jenkins FitNesse w wersji 1.36 i wcześniejszych przechowuje hasła w postaci niezaszyfrowanej w plikach konfiguracyjnych zadań (config.xml) na kontrolerze Jenkinsa. Hasła te mogą być odczytane przez użytkowników posiadających uprawnienia Extended Read lub dostęp do systemu plików kontrolera.

CVE-2026-57301
Wysokie

Wtyczka OWASP ZAP dla Jenkinsa w wersji 1.0.7 i wcześniejszych wykonuje operacje budowania na kontrolerze Jenkinsa zamiast na przypisanym agencie, co umożliwia atakującym z uprawnieniami Item/Configure wykonanie dowolnego kodu na kontrolerze.

CVE-2026-57300
Średnie

Wtyczka Jenkins MCP Server w wersji 0.177.v629fdb_2557fe i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Item/Read na odczyt skryptów replay Pipeline dla zadań, do których mają dostęp.

CVE-2026-57299
Średnie

Wtyczka Contrast Continuous Application Security dla Jenkinsa w wersji 3.11 i wcześniejszych nie sprawdza odpowiednio uprawnień, co umożliwia atakującym z uprawnieniem Overall/Read wyliczenie nazw skonfigurowanych metadanych Contrast.

CVE-2026-57298
Średnie

Wtyczka Jenkins Contrast Continuous Application Security w wersji 3.11 i wcześniejszych zawiera podatność typu cross-site request forgery (CSRF), która umożliwia atakującym zmuszenie Jenkinsa do połączenia się z określonym przez atakującego adresem URL, używając podanego przez niego nazwy użytkownika, klucza API i klucza usługi.

CVE-2026-57297
Średnie

Wtyczka Contrast Continuous Application Security dla Jenkinsa w wersji 3.11 i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na łączenie się z dowolnym adresem URL przy użyciu atakującego nazwy użytkownika, klucza API i klucza usługi.

CVE-2026-57296
Wysokie

Wtyczka Jenkins External Workspace Manager w wersji 1.3.2 i wcześniejszych nie odrzuca sekwencji przejścia ścieżki w niestandardowej ścieżce roboczej podanej do kroku exwsAllocate Pipeline, co pozwala atakującym z uprawnieniami Item/Configure na odczyt dowolnych plików w systemie plików kontrolera Jenkins.

CVE-2026-57295
Średnie

Podatność CSRF we wtyczce Jenkins EC2 Fleet w wersji 4.2.3.539.v8fedff2a_81c3 i wcześniejszych umożliwia atakującym połączenie z adresem URL wskazanym przez atakującego przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co pozwala na przechwycenie poświadczeń AWS przechowywanych w Jenkins.

CVE-2026-57294
Średnie

Wtyczka EC2 Fleet dla Jenkinsa w wersji 4.2.3.539.v8fedff2a_81c3 i wcześniejszych nie sprawdza poprawnie uprawnień, co umożliwia atakującym z uprawnieniami Overall/Read połączenie się z adresem URL wskazanym przez atakującego przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co pozwala na przechwycenie poświadczeń AWS przechowywanych w Jenkinsie.

CVE-2026-57293
Średnie

Wtyczka Gitee w Jenkinsie w wersji 1288.v18b_deb_c9069b_ i wcześniejszych ma błędne sprawdzanie uprawnień, co pozwala atakującym z globalnymi uprawnieniami Item/Configure na enumerację identyfikatorów poświadczeń przechowywanych w Jenkinsie.

CVE-2026-57292
Średnie

Wtyczka Gitee w Jenkinsie w wersji 1288.v18b_deb_c9069b_ i wcześniejszych zawiera podatność typu CSRF, która pozwala atakującym na połączenie z określonym przez nich adresem URL przy użyciu identyfikatorów poświadczeń uzyskanych w inny sposób.

CVE-2026-57291
Średnie

Wtyczka Gitee w Jenkinsie w wersji 1288.v18b_deb_c9069b_ i wcześniejszych ma brakujące kontrole uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na połączenie z URL określonym przez atakującego, używając identyfikatorów poświadczeń uzyskanych inną metodą.

CVE-2026-57290
Średnie

Podatność CSRF w Jenkins Priority Sorter Plugin 936.v2c01c6b_84449 i wcześniejszych umożliwia atakującym nadpisanie globalnej konfiguracji priorytetów zadań.

CVE-2026-57289
Średnie

Wtyczka Jenkinsa Bitbucket Push and Pull Request w wersji 3.3.8 i wcześniejszych całkowicie wyłącza walidację certyfikatów SSL/TLS oraz nazw hostów dla połączeń uwierzytelnionych tokenem Bearer do skonfigurowanego serwera Bitbucket. Umożliwia to atakującym przechwycenie tokena poprzez przechwycenie ruchu sieciowego.

CVE-2026-57288
Niskie

Wtyczka Active Directory dla Jenkinsa w wersji 2.41.1 i wcześniejszych nie odpowiednio koduje nazwy użytkownika przed zbudowaniem filtra wyszukiwania LDAP w ścieżce uwierzytelniania Windows (ADSI). Pozwala to nieuwierzytelnionym atakującym na wstrzykiwanie znaków wieloznacznych LDAP w celu enumeracji wpisów w katalogu oraz uwierzytelnienia się jako pasujący użytkownik, którego hasło znają, bez znajomości dokładnej nazwy użytkownika.

CVE-2026-57287
Średnie

Wtyczka Jenkinsa do historii konfiguracji zadań (Job Configuration History Plugin) w wersji 1356.ve360da_6c523a_ i wcześniejszych nie zaciera zaszyfrowanych wartości sekretów podczas wyświetlania historycznych konfiguracji zadań i agentów. Umożliwia to atakującym z uprawnieniami Extended Read odczytanie zaszyfrowanych wartości sekretów, które w normalnych warunkach byłyby ukryte.

CVE-2026-57286
Średnie

Wtyczka Git Parameter dla Jenkinsa w wersji 462.vdcf3df2ed2ca i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Item/Read na uzyskanie informacji o repozytorium SCM używanym przez zadanie, takich jak nazwy gałęzi, tagi i metadane rewizji.

CVE-2026-57285
Średnie

Wtyczka Jenkins GitHub Branch Source w wersji 1967.1969.v205fd594c821 i wcześniejszych nie sprawdza odpowiednich uprawnień, co umożliwia atakującym z uprawnieniami Overall/Read uzyskanie adresów URL serwerów GitHub Enterprise skonfigurowanych w globalnej konfiguracji wtyczki.

CVE-2026-57284
Średnie

Wtyczka Jenkins Pipeline: Groovy w wersji 4331.v9d06ed4658ff i wcześniejszych nie ogranicza typów, które mogą być tworzone za pomocą generatora fragmentów potoku (Pipeline Snippet Generator). Umożliwia to atakującym tworzenie typów związanych z konfiguracją zadań lub systemu, innych niż kroki potoku.

PoprzedniaStrona 204 z 4552Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS