CVE-2026-57289
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Wtyczka Jenkinsa Bitbucket Push and Pull Request w wersji 3.3.8 i wcześniejszych całkowicie wyłącza walidację certyfikatów SSL/TLS oraz nazw hostów dla połączeń uwierzytelnionych tokenem Bearer do skonfigurowanego serwera Bitbucket. Umożliwia to atakującym przechwycenie tokena poprzez przechwycenie ruchu sieciowego.
Ocena ryzyka
Atakujący mogą przechwycić token uwierzytelniający, co może prowadzić do nieautoryzowanego dostępu do repozytoriów Bitbucket i potencjalnie do eskalacji uprawnień w systemie CI/CD.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Bitbucket Push and Pull Request do wersji nowszej niż 3.3.8, która przywraca walidację certyfikatów SSL/TLS.
Oryginalny opis (angielski, źródło NVD)
Jenkins Bitbucket Push and Pull Request Plugin 3.3.8 and earlier unconditionally disables SSL/TLS certificate and hostname validation for connections sending Bearer token authenticated requests to the configured Bitbucket Server endpoint, allowing attackers able to intercept network traffic to capture the token.

