CVE-2026-53437
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
Podatność w Jenkins 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych polega na nieprawidłowym określaniu, że adres URL przekierowania po logowaniu jest legalnie skierowany do Jenkinsa, gdy zawiera znaki tabulacji lub nowej linii między `//`. Umożliwia to atakującym przeprowadzanie ataków phishingowych.
Ocena ryzyka
Ryzyko polega na możliwości przekierowania użytkownika po zalogowaniu na złośliwą stronę, co może prowadzić do kradzieży danych uwierzytelniających lub innych wrażliwych informacji.
Rekomendacja
Zaleca się natychmiastową aktualizację Jenkinsa do wersji 2.568 lub nowszej, a w przypadku wersji LTS do 2.555.3 lub nowszej, aby wyeliminować podatność.
Oryginalny opis (angielski, źródło NVD)
Jenkins 2.567 and earlier, LTS 2.555.2 and earlier improperly determines that a redirect URL after login is legitimately pointing to Jenkins when it contains tab or newline characters between `//`, allowing attackers to perform phishing attacks.

