Katalog CVE

CVE-2026-57287

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Wtyczka Jenkinsa do historii konfiguracji zadań (Job Configuration History Plugin) w wersji 1356.ve360da_6c523a_ i wcześniejszych nie zaciera zaszyfrowanych wartości sekretów podczas wyświetlania historycznych konfiguracji zadań i agentów. Umożliwia to atakującym z uprawnieniami Extended Read odczytanie zaszyfrowanych wartości sekretów, które w normalnych warunkach byłyby ukryte.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych danych, takich jak hasła, tokeny czy klucze API, przechowywanych w konfiguracjach zadań i agentów. Atakujący z odpowiednimi uprawnieniami może uzyskać dostęp do tych sekretów, co może prowadzić do eskalacji uprawnień lub dalszych ataków na infrastrukturę.

Rekomendacja

Należy niezwłocznie zaktualizować wtyczkę Job Configuration History Plugin do najnowszej dostępnej wersji, która zawiera poprawkę zacierania sekretów. Do czasu aktualizacji należy ograniczyć uprawnienia Extended Read tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Jenkins Job Configuration History Plugin 1356.ve360da_6c523a_ and earlier does not redact the encrypted values of secrets when displaying historical job and agent configurations, allowing attackers with Extended Read permission to view encrypted secret values that would otherwise be redacted.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS