Katalog CVE

CVE-2026-57295

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Podatność CSRF we wtyczce Jenkins EC2 Fleet w wersji 4.2.3.539.v8fedff2a_81c3 i wcześniejszych umożliwia atakującym połączenie z adresem URL wskazanym przez atakującego przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co pozwala na przechwycenie poświadczeń AWS przechowywanych w Jenkins.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży poświadczeń AWS przez atakującego, co może prowadzić do nieautoryzowanego dostępu do zasobów chmurowych organizacji i potencjalnie poważnych naruszeń bezpieczeństwa danych.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki EC2 Fleet do najnowszej dostępnej wersji, która usuwa tę podatność, oraz wdrożenie mechanizmów ochrony CSRF, takich jak tokeny synchronizacyjne.

Oryginalny opis (angielski, źródło NVD)

A cross-site request forgery (CSRF) vulnerability in Jenkins EC2 Fleet Plugin 4.2.3.539.v8fedff2a_81c3 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing AWS credentials stored in Jenkins.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS