Katalog CVE

CVE-2026-42523

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Jenkins GitHub w wersji 1.46.0 i wcześniejszych niewłaściwie przetwarza URL bieżącego zadania w JavaScript, co prowadzi do podatności na przechowywane ataki XSS. Atakujący, którzy mają uprawnienia Overall/Read, mogą wykorzystać tę lukę.

Ocena ryzyka

Organizacja może być narażona na ataki XSS, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników. W szczególności atakujący mogą wstrzykiwać złośliwy kod, który będzie wykonywany w kontekście przeglądarki ofiary.

Rekomendacja

Zaleca się aktualizację wtyczki Jenkins GitHub do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do uprawnień Overall/Read tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Jenkins GitHub Plugin 1.46.0 and earlier improperly processes the current job URL as part of JavaScript implementing validation of the feature "GitHub hook trigger for GITScm polling", resulting in a stored cross-site scripting (XSS) vulnerability exploitable by non-anonymous attackers with Overall/Read permission.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS