Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W produkcie OpenText Access Manager w wersjach od 5.1 do 5.1.2 występuje podatność na atak typu Cross-Site Scripting (XSS) spowodowana nieprawidłowym neutralizowaniem danych wejściowych podczas generowania stron internetowych. Umożliwia to atakującemu wstrzyknięcie złośliwego kodu JavaScript do przeglądarki ofiary.
Wtyczka Zowe zDevOps dla Jenkinsa w wersji 1.1.3.50.ve350c9b_450b_1 i wcześniejszych nie sprawdza poprawnie uprawnień, co pozwala atakującym z uprawnieniem Overall/Read na łączenie się z dowolnym adresem URL przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co prowadzi do przechwycenia poświadczeń przechowywanych w Jenkinsie.
Podatność CSRF w Jenkins Zowe zDevOps Plugin w wersji 1.1.3.50.ve350c9b_450b_1 i wcześniejszych umożliwia atakującemu połączenie z dowolnym adresem URL przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co prowadzi do przechwycenia poświadczeń przechowywanych w Jenkins.
Wtyczka Assembla w Jenkinsie w wersji 1.4 i wcześniejszych zawiera podatność typu CSRF, która umożliwia atakującym łączenie się z określonym przez nich adresem URL, używając podanego przez nich nazwy użytkownika i hasła.
Wtyczka Assembla dla Jenkinsa w wersji 1.4 i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na łączenie się z adresem URL wskazanym przez atakującego przy użyciu podanej przez niego nazwy użytkownika i hasła.
Wtyczka Jenkins FitNesse w wersji 1.36 i wcześniejszych przechowuje hasła w postaci niezaszyfrowanej w plikach konfiguracyjnych zadań (config.xml) na kontrolerze Jenkinsa. Hasła te mogą być odczytane przez użytkowników posiadających uprawnienia Extended Read lub dostęp do systemu plików kontrolera.
Wtyczka Jenkins MCP Server w wersji 0.177.v629fdb_2557fe i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Item/Read na odczyt skryptów replay Pipeline dla zadań, do których mają dostęp.
Wtyczka Contrast Continuous Application Security dla Jenkinsa w wersji 3.11 i wcześniejszych nie sprawdza odpowiednio uprawnień, co umożliwia atakującym z uprawnieniem Overall/Read wyliczenie nazw skonfigurowanych metadanych Contrast.
Wtyczka Jenkins Contrast Continuous Application Security w wersji 3.11 i wcześniejszych zawiera podatność typu cross-site request forgery (CSRF), która umożliwia atakującym zmuszenie Jenkinsa do połączenia się z określonym przez atakującego adresem URL, używając podanego przez niego nazwy użytkownika, klucza API i klucza usługi.
Wtyczka Contrast Continuous Application Security dla Jenkinsa w wersji 3.11 i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na łączenie się z dowolnym adresem URL przy użyciu atakującego nazwy użytkownika, klucza API i klucza usługi.
Podatność CSRF we wtyczce Jenkins EC2 Fleet w wersji 4.2.3.539.v8fedff2a_81c3 i wcześniejszych umożliwia atakującym połączenie z adresem URL wskazanym przez atakującego przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co pozwala na przechwycenie poświadczeń AWS przechowywanych w Jenkins.
Wtyczka EC2 Fleet dla Jenkinsa w wersji 4.2.3.539.v8fedff2a_81c3 i wcześniejszych nie sprawdza poprawnie uprawnień, co umożliwia atakującym z uprawnieniami Overall/Read połączenie się z adresem URL wskazanym przez atakującego przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co pozwala na przechwycenie poświadczeń AWS przechowywanych w Jenkinsie.
Wtyczka Gitee w Jenkinsie w wersji 1288.v18b_deb_c9069b_ i wcześniejszych ma błędne sprawdzanie uprawnień, co pozwala atakującym z globalnymi uprawnieniami Item/Configure na enumerację identyfikatorów poświadczeń przechowywanych w Jenkinsie.
Wtyczka Gitee w Jenkinsie w wersji 1288.v18b_deb_c9069b_ i wcześniejszych zawiera podatność typu CSRF, która pozwala atakującym na połączenie z określonym przez nich adresem URL przy użyciu identyfikatorów poświadczeń uzyskanych w inny sposób.
Wtyczka Gitee w Jenkinsie w wersji 1288.v18b_deb_c9069b_ i wcześniejszych ma brakujące kontrole uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na połączenie z URL określonym przez atakującego, używając identyfikatorów poświadczeń uzyskanych inną metodą.
Podatność CSRF w Jenkins Priority Sorter Plugin 936.v2c01c6b_84449 i wcześniejszych umożliwia atakującym nadpisanie globalnej konfiguracji priorytetów zadań.
Wtyczka Jenkinsa Bitbucket Push and Pull Request w wersji 3.3.8 i wcześniejszych całkowicie wyłącza walidację certyfikatów SSL/TLS oraz nazw hostów dla połączeń uwierzytelnionych tokenem Bearer do skonfigurowanego serwera Bitbucket. Umożliwia to atakującym przechwycenie tokena poprzez przechwycenie ruchu sieciowego.
Wtyczka Jenkinsa do historii konfiguracji zadań (Job Configuration History Plugin) w wersji 1356.ve360da_6c523a_ i wcześniejszych nie zaciera zaszyfrowanych wartości sekretów podczas wyświetlania historycznych konfiguracji zadań i agentów. Umożliwia to atakującym z uprawnieniami Extended Read odczytanie zaszyfrowanych wartości sekretów, które w normalnych warunkach byłyby ukryte.
Wtyczka Git Parameter dla Jenkinsa w wersji 462.vdcf3df2ed2ca i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Item/Read na uzyskanie informacji o repozytorium SCM używanym przez zadanie, takich jak nazwy gałęzi, tagi i metadane rewizji.
Wtyczka Jenkins GitHub Branch Source w wersji 1967.1969.v205fd594c821 i wcześniejszych nie sprawdza odpowiednich uprawnień, co umożliwia atakującym z uprawnieniami Overall/Read uzyskanie adresów URL serwerów GitHub Enterprise skonfigurowanych w globalnej konfiguracji wtyczki.

