CVE-2026-53441
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność XSS w Jenkinsie pozwala atakującym z uprawnieniami Agent/Configure na wstrzyknięcie złośliwego skryptu przez nieuciekający opis przyczyny offline agenta ustawiany przez API POST config.xml. Dotyczy to wersji Jenkins 2.483 do 2.567 oraz LTS 2.492.1 do 2.555.2.
Ocena ryzyka
Atakujący może przechwycić sesje użytkowników, wykraść dane uwierzytelniające lub wykonać dowolne działania w kontekście ofiary, co zagraża poufności i integralności systemu CI/CD.
Rekomendacja
Niezwłocznie zaktualizuj Jenkinsa do wersji 2.568 lub nowszej (LTS 2.555.3 lub nowszej). Ogranicz uprawnienia Agent/Configure tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Jenkins 2.483 through 2.567 (both inclusive), LTS 2.492.1 through 2.555.2 (both inclusive) does not escape the user-provided description of a generic offline cause that could be set through the `POST config.xml` API, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Agent/Configure permission.

