Katalog CVE

CVE-2026-57301

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

Wtyczka OWASP ZAP dla Jenkinsa w wersji 1.0.7 i wcześniejszych wykonuje operacje budowania na kontrolerze Jenkinsa zamiast na przypisanym agencie, co umożliwia atakującym z uprawnieniami Item/Configure wykonanie dowolnego kodu na kontrolerze.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia kontroli nad serwerem Jenkinsa przez osobę posiadającą jedynie uprawnienia do konfiguracji elementów, co może prowadzić do naruszenia poufności, integralności i dostępności systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki OWASP ZAP do wersji nowszej niż 1.0.7, a w przypadku braku dostępnej łatki – tymczasowe wyłączenie wtyczki lub ograniczenie uprawnień Item/Configure tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Jenkins OWASP ZAP Plugin 1.0.7 and earlier performs build operations on the Jenkins controller rather than the assigned agent, allowing attackers with Item/Configure permission to execute arbitrary code on the Jenkins controller.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS