CVE-2026-57281
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 — wyżej niż 44% wszystkich znanych CVE
Streszczenie
Wtyczka Script Security dla Jenkinsa w wersji 1402.v94c9ce464861 i wcześniejszych nie odrzuca adnotacji transformacji AST Groovy zawierających element extensions, co pozwala atakującym zdolnym do uruchamiania skryptów Groovy w piaskownicy na wykonanie kodu poza nią, jeśli odpowiedni skrypt znajduje się na ścieżce klas komponentu przetwarzającego skrypt.
Ocena ryzyka
Organizacja narażona jest na ryzyko zdalnego wykonania kodu (RCE) przez atakującego z uprawnieniami do uruchamiania skryptów w piaskownicy, co może prowadzić do pełnej kompromitacji serwera Jenkins i dostępu do poufnych danych.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Script Security do wersji nowszej niż 1402.v94c9ce464861, która usuwa tę podatność, oraz ograniczenie dostępu do uruchamiania skryptów tylko zaufanym użytkownikom.
Oryginalny opis (angielski, źródło NVD)
Jenkins Script Security Plugin 1402.v94c9ce464861 and earlier does not reject Groovy AST transformation annotations carrying an extensions member, allowing attackers able to run sandboxed Groovy scripts to execute code outside the sandbox if a suitable script is present on the classpath of the component that evaluates the script.

