CVE-2026-48921
WysokieStreszczenie
Wtyczka Groovy Libraries w Jenkins Pipeline w wersji 797.v90ea_a_9b_e45a_0 i wcześniejszych nie blokuje użycia linków symbolicznych w bibliotekach współdzielonych. To umożliwia atakującym, którzy mają kontrolę nad zawartością biblioteki używanej przez zadanie Pipeline, odczyt dowolnych plików z systemu plików kontrolera Jenkins.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do wrażliwych danych na serwerze Jenkins, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty poufności informacji.
Rekomendacja
Zaleca się aktualizację wtyczki Groovy Libraries do najnowszej wersji, która blokuje użycie linków symbolicznych w bibliotekach współdzielonych, aby zminimalizować ryzyko nieautoryzowanego dostępu do plików.
Oryginalny opis (angielski, źródło NVD)
Jenkins Pipeline: Groovy Libraries Plugin 797.v90ea_a_9b_e45a_0 and earlier does not prohibit symbolic links in shared libraries, allowing attackers able to control the content of a library used by a Pipeline job to read arbitrary files on the Jenkins controller filesystem.

