Katalog CVE

CVE-2026-57289

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Wtyczka Jenkinsa Bitbucket Push and Pull Request w wersji 3.3.8 i wcześniejszych całkowicie wyłącza walidację certyfikatów SSL/TLS oraz nazw hostów dla połączeń uwierzytelnionych tokenem Bearer do skonfigurowanego serwera Bitbucket. Umożliwia to atakującym przechwycenie tokena poprzez przechwycenie ruchu sieciowego.

Ocena ryzyka

Atakujący mogą przechwycić token uwierzytelniający, co może prowadzić do nieautoryzowanego dostępu do repozytoriów Bitbucket i potencjalnie do eskalacji uprawnień w systemie CI/CD.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Bitbucket Push and Pull Request do wersji nowszej niż 3.3.8, która przywraca walidację certyfikatów SSL/TLS.

Oryginalny opis (angielski, źródło NVD)

Jenkins Bitbucket Push and Pull Request Plugin 3.3.8 and earlier unconditionally disables SSL/TLS certificate and hostname validation for connections sending Bearer token authenticated requests to the configured Bitbucket Server endpoint, allowing attackers able to intercept network traffic to capture the token.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS