CVE-2026-57300
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wtyczka Jenkins MCP Server w wersji 0.177.v629fdb_2557fe i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Item/Read na odczyt skryptów replay Pipeline dla zadań, do których mają dostęp.
Ocena ryzyka
Ryzyko polega na wycieku poufnych skryptów CI/CD, które mogą zawierać hasła, klucze API lub inne wrażliwe dane, co może prowadzić do eskalacji uprawnień lub dalszych ataków.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki MCP Server do najnowszej wersji, która zawiera poprawkę brakującego sprawdzenia uprawnień.
Oryginalny opis (angielski, źródło NVD)
A missing permission check in Jenkins MCP Server Plugin 0.177.v629fdb_2557fe and earlier allows attackers with Item/Read permission to read the Pipeline replay scripts of jobs they can access.

