[TLP:CLEAR] Jenkins opravuje 30 zranitelnosti v pluginoch
Jenkins upozorňuje na 30 zraniteľností vo svojich pluginoch. Najzávažnejšie z nich sú popísané nižšie, zvyšok nájdete na [1]. Pluginy a ich opravené verzie (ak sú k dispozícii) [1]: Active Directory Plugin – 2.41.2 Assembla Plugin – oprava nie je v čase publikácie k dispozícii Bitbucket Push and Pull Request Plugin – 3.3.9 Contrast Continuous Application Security Plugin – 3.12 EC2 Fleet Plugin – 4.2.3.540.va_6eedb_7b_c112 External Workspace Manager Plugin – 1.4.0 FitNesse Plugin – oprava nie je v čase publikácie k dispozícii Git client Plugin – 6.6.1 Git Parameter Plugin – 462.463.v496a_59f698e5 Gitee Plugin – 1292.v2559f2f3f2c0 GitHub Branch Source Plugin – 1967.1970.vd86979736546 Job Configuration History Plugin – 1367.vc8fa_b_15101dc MCP Server Plugin – 0.178.vffe5a_e770f3b_ OWASP ZAP Plugin – oprava nie je v čase publikácie k dispozícii Pipeline: Groovy Plugin – 4331.4333.v50a_b_076c5199 Priority Sorter Plugin – 936.937.v5581d0b_2ccb_a_ Script Security Plugin – 1402.1405.vc96e74964250 Zowe zDevOps Plugin – oprava nie je v čase publikácie k dispozícii
Autentizovanému vzdialenému útočníkovi s nízkymi oprávneniami je v plugine Script Security umožnené obísť ochranu sandboxu v dôsledku neošetreného implicitného pretypovania prvkov kolekcie v typovanom for cykle, volať konštruktory ľubovoľných typov bez kontroly a spustiť ľubovoľný kód na Jenkins controlleri [1].
Zraniteľnosť sa nachádza v produkte Script Security Plugin vo verziách <=1402.v94c9ce464861.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-57280 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-184: Incomplete List of Disallowed Inputs at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 6. 2026.
Autentizovanému vzdialenému útočníkovi s nízkymi oprávneniami je v plugine External Workspace Manager v dôsledku neošetrenia segmentov .. pri validácii cesty k pracovnému priestoru umožnené uniknúť z nakonfigurovaného bodu pripojenia disku, čítať ľubovoľné súbory na súborovom systéme Jenkins controllera a následne spustiť kód [1].
Zraniteľnosť sa nachádza v produkte External Workspace Manager Plugin vo verziách <=1.3.2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-57296 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 6. 2026.
Autentizovanému vzdialenému útočníkovi je v plugine Script Security umožnené spustiť kód mimo sandboxu, ak sa na classpath komponentu vyhodnocujúceho skript nachádza vhodný Groovy skript [1].
Zraniteľnosť sa nachádza v produkte Script Security Plugin vo verziách <=1402.v94c9ce464861.
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-57281 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-693: Protection Mechanism Failure at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 6. 2026.
Za CESNET-CERTS Henrieta Paločková dňa 25. 6. 2026.
