Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-57300
Średnie

Wtyczka Jenkins MCP Server w wersji 0.177.v629fdb_2557fe i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Item/Read na odczyt skryptów replay Pipeline dla zadań, do których mają dostęp.

CVE-2026-57299
Średnie

Wtyczka Contrast Continuous Application Security dla Jenkinsa w wersji 3.11 i wcześniejszych nie sprawdza odpowiednio uprawnień, co umożliwia atakującym z uprawnieniem Overall/Read wyliczenie nazw skonfigurowanych metadanych Contrast.

CVE-2026-57298
Średnie

Wtyczka Jenkins Contrast Continuous Application Security w wersji 3.11 i wcześniejszych zawiera podatność typu cross-site request forgery (CSRF), która umożliwia atakującym zmuszenie Jenkinsa do połączenia się z określonym przez atakującego adresem URL, używając podanego przez niego nazwy użytkownika, klucza API i klucza usługi.

CVE-2026-57297
Średnie

Wtyczka Contrast Continuous Application Security dla Jenkinsa w wersji 3.11 i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na łączenie się z dowolnym adresem URL przy użyciu atakującego nazwy użytkownika, klucza API i klucza usługi.

CVE-2026-57295
Średnie

Podatność CSRF we wtyczce Jenkins EC2 Fleet w wersji 4.2.3.539.v8fedff2a_81c3 i wcześniejszych umożliwia atakującym połączenie z adresem URL wskazanym przez atakującego przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co pozwala na przechwycenie poświadczeń AWS przechowywanych w Jenkins.

CVE-2026-57294
Średnie

Wtyczka EC2 Fleet dla Jenkinsa w wersji 4.2.3.539.v8fedff2a_81c3 i wcześniejszych nie sprawdza poprawnie uprawnień, co umożliwia atakującym z uprawnieniami Overall/Read połączenie się z adresem URL wskazanym przez atakującego przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co pozwala na przechwycenie poświadczeń AWS przechowywanych w Jenkinsie.

CVE-2026-57293
Średnie

Wtyczka Gitee w Jenkinsie w wersji 1288.v18b_deb_c9069b_ i wcześniejszych ma błędne sprawdzanie uprawnień, co pozwala atakującym z globalnymi uprawnieniami Item/Configure na enumerację identyfikatorów poświadczeń przechowywanych w Jenkinsie.

CVE-2026-57292
Średnie

Wtyczka Gitee w Jenkinsie w wersji 1288.v18b_deb_c9069b_ i wcześniejszych zawiera podatność typu CSRF, która pozwala atakującym na połączenie z określonym przez nich adresem URL przy użyciu identyfikatorów poświadczeń uzyskanych w inny sposób.

CVE-2026-57291
Średnie

Wtyczka Gitee w Jenkinsie w wersji 1288.v18b_deb_c9069b_ i wcześniejszych ma brakujące kontrole uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na połączenie z URL określonym przez atakującego, używając identyfikatorów poświadczeń uzyskanych inną metodą.

CVE-2026-57290
Średnie

Podatność CSRF w Jenkins Priority Sorter Plugin 936.v2c01c6b_84449 i wcześniejszych umożliwia atakującym nadpisanie globalnej konfiguracji priorytetów zadań.

CVE-2026-57289
Średnie

Wtyczka Jenkinsa Bitbucket Push and Pull Request w wersji 3.3.8 i wcześniejszych całkowicie wyłącza walidację certyfikatów SSL/TLS oraz nazw hostów dla połączeń uwierzytelnionych tokenem Bearer do skonfigurowanego serwera Bitbucket. Umożliwia to atakującym przechwycenie tokena poprzez przechwycenie ruchu sieciowego.

CVE-2026-57287
Średnie

Wtyczka Jenkinsa do historii konfiguracji zadań (Job Configuration History Plugin) w wersji 1356.ve360da_6c523a_ i wcześniejszych nie zaciera zaszyfrowanych wartości sekretów podczas wyświetlania historycznych konfiguracji zadań i agentów. Umożliwia to atakującym z uprawnieniami Extended Read odczytanie zaszyfrowanych wartości sekretów, które w normalnych warunkach byłyby ukryte.

CVE-2026-57286
Średnie

Wtyczka Git Parameter dla Jenkinsa w wersji 462.vdcf3df2ed2ca i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Item/Read na uzyskanie informacji o repozytorium SCM używanym przez zadanie, takich jak nazwy gałęzi, tagi i metadane rewizji.

CVE-2026-57285
Średnie

Wtyczka Jenkins GitHub Branch Source w wersji 1967.1969.v205fd594c821 i wcześniejszych nie sprawdza odpowiednich uprawnień, co umożliwia atakującym z uprawnieniami Overall/Read uzyskanie adresów URL serwerów GitHub Enterprise skonfigurowanych w globalnej konfiguracji wtyczki.

CVE-2026-57284
Średnie

Wtyczka Jenkins Pipeline: Groovy w wersji 4331.v9d06ed4658ff i wcześniejszych nie ogranicza typów, które mogą być tworzone za pomocą generatora fragmentów potoku (Pipeline Snippet Generator). Umożliwia to atakującym tworzenie typów związanych z konfiguracją zadań lub systemu, innych niż kroki potoku.

CVE-2026-57283
Średnie

Podatność CSRF w Jenkins Pipeline: Groovy Plugin 4331.v9d06ed4658ff i wcześniejszych umożliwia atakującym tworzenie instancji typów związanych z konfiguracją zadań lub systemu, innych niż kroki Pipeline, za pomocą Generatora Fragmentów Pipeline.

CVE-2026-57282
Średnie

Wtyczka Git client dla Jenkinsa w wersji 6.6.0 i wcześniejszych nieprawidłowo escapuje nazwę katalogu roboczego, gdy jest ona osadzana w generowanym skrypcie SSH. Umożliwia to atakującym kontrolującym nazwę katalogu roboczego wykonanie dowolnych poleceń systemu operacyjnego na agencie.

CVE-2026-56761
Średnie

Podatność HTML injection w bibliotece Hono przed wersją 4.12.14 umożliwia atakującym wstrzyknięcie niepożądanego kodu HTML poprzez użycie zniekształconych nazw atrybutów podczas renderowania po stronie serwera JSX. Specjalnie spreparowane klucze atrybutów zawierające znaki takie jak cudzysłowy lub nawiasy ostrokątne mogą przełamać granice znaczników HTML i wstrzyknąć dowolne atrybuty lub elementy.

CVE-2026-56358
Średnie

Podatność XSS w n8n przed wersjami 1.123.25 (1.x) i 2.11.2 (2.x) (poprawka także w 2.12.0) występuje w węźle Form Trigger z powodu nieprawidłowego czyszczenia CSS. Uwierzytelnieni użytkownicy z uprawnieniami do tworzenia przepływów pracy mogą wstrzykiwać złośliwe skrypty, które wykonują się trwale dla wszystkich odwiedzających formularz.

CVE-2026-56338
Średnie

Capgo w wersjach przed 12.128.2 zawiera podatność na odmowę usługi w punkcie końcowym /auth/v1/otp, która uniemożliwia weryfikację e-mailową dla uwierzytelniania dwuskładnikowego z powodu niepowodzeń walidacji captcha.

PoprzedniaStrona 61 z 530Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS