CVE-2026-53436
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nieprawidłowo określa, że adres URL przekierowania po zalogowaniu prawidłowo wskazuje na Jenkins, gdy zawiera segmenty ścieżki względnej (`./` lub `../`). To umożliwia atakującym przeprowadzanie ataków phishingowych.
Ocena ryzyka
Organizacje mogą stać się celem ataków phishingowych, co może prowadzić do kradzieży danych logowania użytkowników oraz innych informacji wrażliwych.
Rekomendacja
Zaleca się aktualizację Jenkins do najnowszej wersji, aby wyeliminować tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających w celu ochrony przed atakami phishingowymi.
Oryginalny opis (angielski, źródło NVD)
Jenkins 2.567 and earlier, LTS 2.555.2 and earlier improperly determines that a redirect URL after login is legitimately pointing to Jenkins when it contains relative path segments (`./` or `../`), allowing attackers to perform phishing attacks.

