Katalog CVE

CVE-2026-53436

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nieprawidłowo określa, że adres URL przekierowania po zalogowaniu prawidłowo wskazuje na Jenkins, gdy zawiera segmenty ścieżki względnej (`./` lub `../`). To umożliwia atakującym przeprowadzanie ataków phishingowych.

Ocena ryzyka

Organizacje mogą stać się celem ataków phishingowych, co może prowadzić do kradzieży danych logowania użytkowników oraz innych informacji wrażliwych.

Rekomendacja

Zaleca się aktualizację Jenkins do najnowszej wersji, aby wyeliminować tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających w celu ochrony przed atakami phishingowymi.

Oryginalny opis (angielski, źródło NVD)

Jenkins 2.567 and earlier, LTS 2.555.2 and earlier improperly determines that a redirect URL after login is legitimately pointing to Jenkins when it contains relative path segments (`./` or `../`), allowing attackers to perform phishing attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS