Katalog CVE

CVE-2026-48921

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Groovy Libraries w Jenkins Pipeline w wersji 797.v90ea_a_9b_e45a_0 i wcześniejszych nie blokuje użycia linków symbolicznych w bibliotekach współdzielonych. To umożliwia atakującym, którzy mają kontrolę nad zawartością biblioteki używanej przez zadanie Pipeline, odczyt dowolnych plików z systemu plików kontrolera Jenkins.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do wrażliwych danych na serwerze Jenkins, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty poufności informacji.

Rekomendacja

Zaleca się aktualizację wtyczki Groovy Libraries do najnowszej wersji, która blokuje użycie linków symbolicznych w bibliotekach współdzielonych, aby zminimalizować ryzyko nieautoryzowanego dostępu do plików.

Oryginalny opis (angielski, źródło NVD)

Jenkins Pipeline: Groovy Libraries Plugin 797.v90ea_a_9b_e45a_0 and earlier does not prohibit symbolic links in shared libraries, allowing attackers able to control the content of a library used by a Pipeline job to read arbitrary files on the Jenkins controller filesystem.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS