CVE-2026-57301
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Wtyczka OWASP ZAP dla Jenkinsa w wersji 1.0.7 i wcześniejszych wykonuje operacje budowania na kontrolerze Jenkinsa zamiast na przypisanym agencie, co umożliwia atakującym z uprawnieniami Item/Configure wykonanie dowolnego kodu na kontrolerze.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia kontroli nad serwerem Jenkinsa przez osobę posiadającą jedynie uprawnienia do konfiguracji elementów, co może prowadzić do naruszenia poufności, integralności i dostępności systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki OWASP ZAP do wersji nowszej niż 1.0.7, a w przypadku braku dostępnej łatki – tymczasowe wyłączenie wtyczki lub ograniczenie uprawnień Item/Configure tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Jenkins OWASP ZAP Plugin 1.0.7 and earlier performs build operations on the Jenkins controller rather than the assigned agent, allowing attackers with Item/Configure permission to execute arbitrary code on the Jenkins controller.

