CVE-2026-53440
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nie weryfikuje bezpieczeństwa parametru 'from' w ramach bezpieczeństwa 'Delegate to servlet container', co umożliwia atakującym przeprowadzanie ataków phishingowych poprzez przekierowywanie użytkowników na domeny kontrolowane przez atakujących.
Ocena ryzyka
Organizacja jest narażona na ataki phishingowe, które mogą prowadzić do kradzieży danych logowania użytkowników oraz innych wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację Jenkins do najnowszej wersji, aby zapewnić odpowiednią weryfikację parametrów przekierowań po logowaniu.
Oryginalny opis (angielski, źródło NVD)
Jenkins 2.567 and earlier, LTS 2.555.2 and earlier does not ensure that the "from" parameter in the "Delegate to servlet container" security realm is safe to redirect to after login, allowing attackers to perform phishing attacks by redirecting users to an attacker-controlled domain.

