CVE-2026-57297
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Wtyczka Contrast Continuous Application Security dla Jenkinsa w wersji 3.11 i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na łączenie się z dowolnym adresem URL przy użyciu atakującego nazwy użytkownika, klucza API i klucza usługi.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataków typu Server-Side Request Forgery (SSRF) lub wycieku danych, ponieważ atakujący może wysyłać żądania do zewnętrznych serwerów, podszywając się pod autoryzowanego użytkownika.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Contrast Continuous Application Security do wersji nowszej niż 3.11, która zawiera poprawkę brakującego sprawdzania uprawnień.
Oryginalny opis (angielski, źródło NVD)
A missing permission check in Jenkins Contrast Continuous Application Security Plugin 3.11 and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using an attacker-specified username, API key, and service key.

