CVE-2026-48920
WysokieStreszczenie
Wtyczka Jenkins Email Extension w wersji 1933.v45cec755423f i wcześniejszych umożliwia osadzanie obrazów jako `base64` w treści e-maili poprzez ustawienie atrybutu `data-inline`, bez ograniczeń dotyczących adresów URL obrazów. To pozwala atakującym kontrolującym treść e-maila na określenie adresów URL `file:`, co umożliwia odczyt dowolnych plików z systemu plików kontrolera Jenkins.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do poufnych danych przechowywanych na serwerze Jenkins, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby zlikwidować tę podatność oraz wprowadzenie odpowiednich ograniczeń w treści e-maili.
Oryginalny opis (angielski, źródło NVD)
Jenkins Email Extension Plugin 1933.v45cec755423f and earlier allows inlining images as `base64` in email content by setting the `data-inline` attribute, without restrictions on the image URLs that can be inlined, allowing attackers able to control the email content to specify `file:` URLs for images to read arbitrary files from the Jenkins controller filesystem.

