1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Jenkins

Server-Software, Middleware, Web

Jenkins gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Jenkins kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

50
Reports
6
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.5%
Max. EPSS

Schwachstellen-Reports

50 Reports

Zeige 1 bis 50 von 50

  1. Jenkins Stapler Web Framework – Deserialisierung nicht vertrauenswürdiger Daten

    CVE-2018-1000861 Aktiv ausgenutzt

    Im Jenkins Stapler Web Framework wurde eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

    EPSS: 94.48% Publiziert: Referenz: CISA KEV
  2. Jenkins – Remote Code Execution

    CVE-2017-1000353 Aktiv ausgenutzt

    In Jenkins wurde eine Schwachstelle zur Remote-Ausführung von Schadcode bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

    EPSS: 94.48% Publiziert: Referenz: CISA KEV
  3. Jenkins CLI – Path Traversal

    CVE-2024-23897 Aktiv ausgenutzt Ransomware

    In der Jenkins Command Line Interface (CLI) wurde eine Path-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

    EPSS: 94.47% Publiziert: Referenz: CISA KEV
  4. Jenkins Script Security Plugin – Sandbox-Umgehung

    CVE-2019-1003029 Aktiv ausgenutzt

    Im Jenkins Script Security Plugin wurde eine Schwachstelle zur Umgehung der Sandbox-Isolation entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.6 %.

    EPSS: 92.65% Publiziert: Referenz: CISA KEV
  5. Jenkins Matrix Project Plugin – Remote Code Execution

    CVE-2019-1003030 Aktiv ausgenutzt

    Im Jenkins Matrix Project Plugin wurde eine Schwachstelle zur Remote-Ausführung von Schadcode bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.8 %.

    EPSS: 91.82% Publiziert: Referenz: CISA KEV
  6. Jenkins UI – Informationsoffenlegung

    CVE-2015-5317 Aktiv ausgenutzt

    In der Jenkins-Benutzeroberfläche wurde eine Schwachstelle zur Informationsoffenlegung identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 39.7 %.

    EPSS: 39.70% Publiziert: Referenz: CISA KEV
  7. Jenkins GitHub Plugin: Stored XSS bei GitHub-Hook-Trigger-Validierung

    CVE-2026-42523 Kritisch

    Das Jenkins GitHub Plugin 1.46.0 und früher verarbeitet die aktuelle Job-URL im JavaScript zur Validierung der Funktion „GitHub hook trigger for GITScm polling” unsicher. Dies führt zu einer gespeicherten Cross-Site-Scripting-Lücke (Stored XSS). CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.0 EPSS: 0.05% Publiziert: Referenz: NVD
  8. Jenkins – Deserialisierung beliebiger Typen aus angreiferkontrollierter config.xml

    CVE-2026-53435 Hoch

    In Jenkins 2.567 und früher sowie LTS 2.555.2 und früher können Angreifer Jenkins dazu bringen, beliebige in Jenkins-Core oder Plugins definierte Typen aus einer angreiferkontrollierten config.xml zu deserialisieren. CVSS-Basiswert: 8.8 (Hoch); der Angriff ist über das Netzwerk mit niedrigen Rechten und ohne Nutzerinteraktion möglich und wirkt auf Vertraulichkeit, Integrität und Verfügbarkeit. Ausnutzungswahrscheinlichkeit (EPSS): 14.9 % – ein für neue Meldungen ungewöhnlich hoher Wert. Empfohlene Massnahme: auf eine Jenkins-Version oberhalb der genannten Stände aktualisieren.

    CVSS: 8.8 EPSS: 14.91% Publiziert: Referenz: NVD
  9. Jenkins Credentials Binding Plugin: Fehlende Dateinamen-Bereinigung

    CVE-2026-42520 Hoch

    Das Jenkins Credentials Binding Plugin 719.v80e905ef14eb_ und früher bereinigt Dateinamen für Datei- und ZIP-Datei-Credentials nicht ausreichend. Angreifer mit Schreibzugriff auf Job-Credentials können dadurch Dateien an unvorgesehene Orte schreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 2.7 %.

    CVSS: 7.5 EPSS: 2.74% Publiziert: Referenz: NVD
  10. Jenkins Credentials Binding Plugin: Unzureichende Dateinamen-Bereinigung (v720)

    CVE-2026-48922 Hoch

    Das Jenkins Credentials Binding Plugin 720.v3f6decef43ea_ und früher bereinigt Dateinamen für Datei- und ZIP-Datei-Credentials nicht ausreichend. Angreifer mit Schreibzugriff auf Job-Credentials können dadurch Dateien an beliebige Pfade schreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.6 %.

    CVSS: 7.5 EPSS: 1.58% Publiziert: Referenz: NVD
  11. Jenkins Script Security Plugin: Sandbox-Umgehung über Groovy-AST-Transformationen

    CVE-2026-57281 Hoch

    Das Jenkins Script Security Plugin 1402.v94c9ce464861 und früher weist Groovy-AST-Transformations-Annotationen mit einem `extensions`-Member nicht zurück. Dadurch können Angreifer, die Sandbox-Groovy-Skripte ausführen dürfen, die Sandbox umgehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.

    CVSS: 7.5 EPSS: 0.59% Publiziert: Referenz: NVD
  12. Jenkins OWASP ZAP Plugin: Build-Operationen auf dem Controller

    CVE-2026-57301 Hoch

    Das Jenkins OWASP ZAP Plugin in Version 1.0.7 und früher führt Build-Operationen auf dem Jenkins-Controller statt auf dem zugewiesenen Agenten aus. Dadurch können Angreifer mit der Berechtigung Item/Configure laut Quelle beliebigen Code ausführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 8.8 EPSS: 0.42% Publiziert: Referenz: NVD
  13. Jenkins Email Extension Plugin: Server-Side Request Forgery via Bild-Inline

    CVE-2026-48920 Hoch

    Das Jenkins Email Extension Plugin 1933.v45cec755423f und früher erlaubt das Einbetten von Bildern als Base64 im E-Mail-Inhalt über das Attribut `data-inline`, ohne die verwendeten Bild-URLs einzuschränken. Angreifer können so serverseitige Anfragen an beliebige URLs auslösen (SSRF). CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.8 EPSS: 0.40% Publiziert: Referenz: NVD
  14. Jenkins Script Security Plugin: Sandbox-Umgehung über impliziten Typecast

    CVE-2026-57280 Hoch

    Das Jenkins Script Security Plugin 1402.v94c9ce464861 und früher fängt die impliziten Typumwandlungen bei den Elementen typisierter for-each-Schleifen in sandboxed Groovy-Skripten nicht ab, was Angreifern eine Umgehung der Sandbox ermöglicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Script Security Plugin auf eine gegenüber 1402.v94c9ce464861 neuere, korrigierte Version aktualisieren.

    CVSS: 8.8 EPSS: 0.37% Publiziert: Referenz: NVD
  15. Jenkins Pipeline Groovy Libraries Plugin: Symbolische Links in Shared Libraries

    CVE-2026-48921 Hoch

    Das Jenkins Pipeline: Groovy Libraries Plugin 797.v90ea_a_9b_e45a_0 und früher verbietet symbolische Links in Shared Libraries nicht. Angreifer mit Kontrolle über den Inhalt einer verwendeten Bibliothek können so auf Dateien ausserhalb des vorgesehenen Verzeichnisses zugreifen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  16. Jenkins: Path-Traversal beim Entpacken von TAR-Archiven

    CVE-2026-33001 Hoch

    Jenkins 2.554 und früher sowie LTS 2.541.2 und früher verarbeiten symbolische Links beim Extrahieren von .tar- und .tar.gz-Archiven nicht sicher. Präparierte Archive können dadurch Dateien an beliebige Stellen im Dateisystem schreiben. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.8 EPSS: 0.26% Publiziert: Referenz: NVD
  17. Jenkins Assembla Plugin: XML-External-Entity-Schwachstelle (bis 1.4)

    CVE-2026-57303 Hoch

    Das Jenkins Assembla Plugin 1.4 und früher konfiguriert seinen XML-Parser nicht gegen XML-External-Entity-(XXE)-Angriffe, sodass Angreifer, die die Antworten des konfigurierten Assembla-Servers kontrollieren können, dies ausnutzen können. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 7.1 EPSS: 0.22% Publiziert: Referenz: NVD
  18. Jenkins: Fehlerhafte Origin-Validierung am CLI-WebSocket-Endpunkt

    CVE-2026-33002 Hoch

    Jenkins 2.442 bis 2.554 sowie LTS 2.426.3 bis LTS 2.541.2 berechnet die erwartete Herkunft (Origin) von Anfragen am CLI-WebSocket-Endpunkt fehlerhaft. Dies kann zur Umgehung von Herkunftsprüfungen genutzt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD
  19. Jenkins: Stored XSS in „Mark temporarily offline”-Beschreibung

    CVE-2026-27099 Hoch

    In Jenkins 2.483 bis 2.550 sowie LTS 2.492.1 bis 2.541.1 wird die benutzerdefinierte Beschreibung der „Mark temporarily offline”-Funktion nicht ausreichend maskiert, was eine gespeicherte Cross-Site-Scripting-Lücke (Stored XSS) ermöglicht. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.0 EPSS: 0.07% Publiziert: Referenz: NVD
  20. Jenkins HTML Publisher Plugin: Stored XSS in Legacy-Wrapper-Datei

    CVE-2026-42524 Hoch

    Das Jenkins HTML Publisher Plugin 427 und früher maskiert Jobnamen und URLs in der Legacy-Wrapper-Datei nicht korrekt, was eine gespeicherte Cross-Site-Scripting-Lücke (Stored XSS) ermöglicht. Die Lücke ist durch Angreifer mit entsprechenden Berechtigungen ausnutzbar. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.0 EPSS: 0.05% Publiziert: Referenz: NVD
  21. Jenkins: Open Redirect nach Login über manipulierte Redirect-URL

    CVE-2026-53437 Mittel

    Jenkins 2.567 und früher sowie LTS 2.555.2 und früher bestimmen fehlerhaft, ob eine Redirect-URL nach dem Login tatsächlich auf Jenkins verweist, wenn diese Tabulator- oder Zeilenumbruchzeichen zwischen `//` enthält. Dadurch lässt sich ein Open Redirect auslösen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Jenkins-Version aktualisieren.

    CVSS: 4.3 EPSS: 0.36% Publiziert: Referenz: NVD
  22. CVE-2026-53436 – Open Redirect nach Login (Jenkins)

    CVE-2026-53436 Mittel

    Jenkins 2.567 und älter sowie LTS 2.555.2 und älter stufen eine Redirect-URL nach dem Login fälschlich als legitim auf Jenkins zeigend ein, wenn sie relative Pfadsegmente (`./` oder `../`) enthält. Dadurch lässt sich eine Weiterleitung auf eine fremde Ziel-URL erzwingen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine bereinigte Jenkins-Version aktualisieren.

    CVSS: 4.3 EPSS: 0.28% Publiziert: Referenz: NVD
  23. Jenkins Pipeline: Groovy Plugin: Uneingeschränkte Typinstanziierung im Snippet Generator

    CVE-2026-57284 Mittel

    Das Jenkins Pipeline: Groovy Plugin in Version 4331.v9d06ed4658ff und früher schränkt die Typen nicht ein, die über den Pipeline Snippet Generator instanziiert werden können, sodass Angreifer sicherheitsrelevante Typen instanziieren können. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung des betroffenen Plugins nach Verfügbarkeit.

    CVSS: 4.3 EPSS: 0.27% Publiziert: Referenz: NVD
  24. Jenkins – Stored XSS über nicht escapte Offline-Ursachenbeschreibung

    CVE-2026-53441 Mittel

    Jenkins 2.483 bis 2.567 (jeweils inklusive) sowie LTS 2.492.1 bis 2.555.2 (jeweils inklusive) escapen die vom Benutzer angegebene Beschreibung einer generischen Offline-Ursache nicht, die per POST gesetzt werden kann. Dies ermöglicht Stored Cross-Site-Scripting. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Jenkins-Version aktualisieren.

    CVSS: 5.4 EPSS: 0.26% Publiziert: Referenz: NVD
  25. Jenkins: Offene Weiterleitung in der Servlet-Container-Delegation

    CVE-2026-53440 Mittel

    Jenkins 2.567 und älter sowie LTS 2.555.2 und älter stellen nicht sicher, dass der Parameter from im Sicherheits-Realm Delegate to servlet container nach dem Login ein sicheres Weiterleitungsziel ist, wodurch eine offene Weiterleitung (Open Redirect) möglich wird. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine Jenkins-Version neuer als 2.567 bzw. LTS neuer als 2.555.2 aktualisieren.

    CVSS: 4.3 EPSS: 0.24% Publiziert: Referenz: NVD
  26. Jenkins: Fehlende Berechtigungsprüfungen offenbaren Zeitzonen und View-Namen

    CVE-2026-53439 Mittel

    In Jenkins 2.567 und früher sowie LTS 2.555.2 und früher erlauben fehlende Berechtigungsprüfungen Angreifern mit der Berechtigung Overall/Read, die konfigurierte Zeitzone anderer Benutzer zu ermitteln und View-Namen aufzuzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Jenkins auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.23% Publiziert: Referenz: NVD
  27. CVE-2026-57285 – Fehlende Berechtigungsprüfung im GitHub Branch Source Plugin (Jenkins)

    CVE-2026-57285 Mittel

    Eine fehlende Berechtigungsprüfung im Jenkins GitHub Branch Source Plugin 1967.1969.v205fd594c821 und älter erlaubt Angreifern mit Overall/Read-Berechtigung, die URLs konfigurierter GitHub-Enterprise-Server auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD
  28. Jenkins Git Parameter Plugin: Fehlende Berechtigungsprüfung

    CVE-2026-57286 Mittel

    Im Jenkins Git Parameter Plugin 462.vdcf3df2ed2ca_ und früher fehlt eine Berechtigungsprüfung. Angreifer mit Item/Read-Berechtigung können dadurch Informationen über das von einem Job genutzte SCM-Repository erlangen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Git Parameter Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD
  29. Jenkins: Fehlende Berechtigungsprüfung beim Abbrechen von Queue-Items

    CVE-2026-53438 Mittel

    Eine fehlende Berechtigungsprüfung in Jenkins 2.567 und früher sowie LTS 2.555.2 und früher erlaubt Angreifern mit Item/Cancel-, aber ohne Item/Read-Berechtigung, Queue-Items abzubrechen, auf die sie keinen Lesezugriff haben. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine korrigierte Jenkins-Version aktualisieren.

    CVSS: 4.3 EPSS: 0.21% Publiziert: Referenz: NVD
  30. Jenkins Git client Plugin – Unzureichendes Escaping des Workspace-Namens

    CVE-2026-57282 Mittel

    Das Jenkins Git client Plugin 6.6.0 und früher maskiert den Namen des Workspace-Verzeichnisses nicht korrekt, wenn er in ein generiertes SSH-Wrapper-Skript eingebettet wird. Angreifer, die den Namen kontrollieren können, können dies ausnutzen. CVSS-Basiswert: 5.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 5.0 EPSS: 0.21% Publiziert: Referenz: NVD
  31. Jenkins speichert Secrets aus config.xml unverschlüsselt

    CVE-2026-53442 Mittel

    Jenkins 2.567 und früher sowie LTS 2.555.2 und früher verschlüsseln Secrets aus POST-config.xml-Übermittlungen nicht, bevor sie unverschlüsselt in den Job-Konfigurationsdateien (config.xml) auf dem Jenkins-Controller gespeichert werden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine fehlerbereinigte Jenkins-Version aktualisieren.

    CVSS: 5.3 EPSS: 0.19% Publiziert: Referenz: NVD
  32. Jenkins MCP Server Plugin: Fehlende Berechtigungsprüfung ermöglicht Auslesen von Replay-Skripten

    CVE-2026-57300 Mittel

    Eine fehlende Berechtigungsprüfung im Jenkins-Plugin „MCP Server“ (Version 0.177.v629fdb_2557fe und früher) erlaubt Angreifern mit Item/Read-Berechtigung, die Pipeline-Replay-Skripte der für sie zugänglichen Jobs auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.18% Publiziert: Referenz: NVD
  33. Jenkins FitNesse Plugin: Passwörter unverschlüsselt gespeichert

    CVE-2026-57302 Mittel

    Das Jenkins FitNesse Plugin in Version 1.36 und früher speichert Passwörter unverschlüsselt in den job config.xml-Dateien auf dem Jenkins-Controller, wo sie von Benutzern mit Extended-Read-Berechtigung oder entsprechendem Zugriff eingesehen werden können. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung des betroffenen Plugins nach Verfügbarkeit.

    CVSS: 4.3 EPSS: 0.18% Publiziert: Referenz: NVD
  34. Jenkins Contrast-Plugin: Fehlende Berechtigungsprüfung (SSRF)

    CVE-2026-57297 Mittel

    Eine fehlende Berechtigungsprüfung im Jenkins Contrast Continuous Application Security Plugin 3.11 und älter erlaubt Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer vom Angreifer angegebenen URL aufzubauen (SSRF-artig). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Das Contrast-Plugin auf eine Version neuer als 3.11 aktualisieren.

    CVSS: 4.3 EPSS: 0.17% Publiziert: Referenz: NVD
  35. Jenkins Contrast Continuous Application Security Plugin: Fehlende Berechtigungsprüfungen

    CVE-2026-57299 Mittel

    Fehlende Berechtigungsprüfungen im Jenkins Contrast Continuous Application Security Plugin 3.11 und früher erlauben Angreifern mit Overall/Read-Berechtigung, die Namen konfigurierter Contrast-Metadaten aufzuzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 4.3 EPSS: 0.17% Publiziert: Referenz: NVD
  36. Jenkins EC2 Fleet Plugin: fehlende Berechtigungsprüfung

    CVE-2026-57294 Mittel

    Eine fehlende Berechtigungsprüfung im Jenkins EC2 Fleet Plugin 4.2.3.539.v8fedff2a_81c3 und früher erlaubt Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer vom Angreifer angegebenen URL herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das betroffene Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 5.4 EPSS: 0.16% Publiziert: Referenz: NVD
  37. Jenkins Assembla Plugin – fehlende Berechtigungsprüfung

    CVE-2026-57304 Mittel

    Im Jenkins Assembla Plugin 1.4 und früher erlaubt eine fehlende Berechtigungsprüfung Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer angreiferseitig vorgegebenen URL mit angreiferseitig vorgegebenem Benutzernamen und Passwort herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine vom Hersteller bereitgestellte, korrigierte Plugin-Version aktualisieren.

    CVSS: 5.4 EPSS: 0.16% Publiziert: Referenz: NVD
  38. Jenkins Pipeline: Groovy Plugin: Cross-Site Request Forgery (CSRF)

    CVE-2026-57283 Mittel

    Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins-Plugin „Pipeline: Groovy“ (Version 4331.v9d06ed4658ff und früher) erlaubt Angreifern, bestimmte Typen im Zusammenhang mit der Job- oder Systemkonfiguration zu instanziieren. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.16% Publiziert: Referenz: NVD
  39. Jenkins Priority Sorter Plugin: Cross-Site Request Forgery (CSRF)

    CVE-2026-57290 Mittel

    Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Priority Sorter Plugin 936.v2c01c6b_84449 und früher erlaubt Angreifern, die globale Konfiguration der Job-Priorität zu überschreiben. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.15% Publiziert: Referenz: NVD
  40. Jenkins Zowe zDevOps Plugin: Fehlende Berechtigungsprüfung

    CVE-2026-57307 Mittel

    Eine fehlende Berechtigungsprüfung im Jenkins Zowe zDevOps Plugin 1.1.3.50.ve350c9b_450b_1 und früher erlaubt Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer vom Angreifer angegebenen URL herzustellen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 4.2 EPSS: 0.14% Publiziert: Referenz: NVD
  41. Jenkins Job Configuration History Plugin: Klartext-Anzeige verschlüsselter Secrets

    CVE-2026-57287 Mittel

    Das Jenkins Job Configuration History Plugin 1356.ve360da_6c523a_ und früher schwärzt die verschlüsselten Werte von Secrets bei der Anzeige historischer Job- und Agent-Konfigurationen nicht, wodurch berechtigte Angreifer diese einsehen können. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.13% Publiziert: Referenz: NVD
  42. Jenkins EC2 Fleet Plugin: Cross-Site Request Forgery (CSRF)

    CVE-2026-57295 Mittel

    Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins EC2 Fleet Plugin 4.2.3.539.v8fedff2a_81c3 und früher erlaubt es Angreifern, eine Verbindung zu einer vom Angreifer bestimmten URL mit vom Angreifer bestimmten Zugangsdaten herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das betroffene Plugin auf eine bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 5.4 EPSS: 0.13% Publiziert: Referenz: NVD
  43. Jenkins Assembla Plugin: Cross-Site Request Forgery (CSRF)

    CVE-2026-57305 Mittel

    Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Assembla Plugin 1.4 und früher erlaubt Angreifern, eine Verbindung zu einer angreiferseitig festgelegten URL mit angreiferseitig festgelegtem Benutzernamen und Passwort herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren bzw. dem Jenkins-Sicherheitshinweis folgen.

    CVSS: 5.4 EPSS: 0.13% Publiziert: Referenz: NVD
  44. Jenkins Zowe zDevOps-Plugin: Cross-Site Request Forgery (CSRF)

    CVE-2026-57306 Mittel

    Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Zowe zDevOps Plugin 1.1.3.50.ve350c9b_450b_1 und älter erlaubt Angreifern, eine Verbindung zu einer vom Angreifer angegebenen URL mit vom Angreifer angegebenen Zugangsdaten aufzubauen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Das Zowe zDevOps Plugin auf eine Version neuer als 1.1.3.50.ve350c9b_450b_1 aktualisieren.

    CVSS: 4.2 EPSS: 0.11% Publiziert: Referenz: NVD
  45. CVE-2026-57289 – Deaktivierte TLS-Zertifikatsprüfung (Jenkins-Plugin)

    CVE-2026-57289 Mittel

    Das Jenkins Bitbucket Push and Pull Request Plugin in Version 3.3.8 und älter deaktiviert bedingungslos die SSL/TLS-Zertifikats- und Hostnamen-Validierung für Verbindungen, die mit Bearer-Token authentifizierte Anfragen senden. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 4.8 EPSS: 0.11% Publiziert: Referenz: NVD
  46. Jenkins LDAP Plugin: Unsichere Deserialisierung von LDAP-Referral-Daten

    CVE-2026-48917 Mittel

    Das Jenkins LDAP Plugin 807.v7d7de30930cf und früher deserialisiert Daten aus LDAP-Referrals ohne Validierung. Dies kann zur Ausführung von schadhaftem Code führen, wenn ein Angreifer Kontrolle über den referenzierten LDAP-Server hat. CVSS-Basiswert: 6.6 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.6 EPSS: 0.07% Publiziert: Referenz: NVD
  47. Jenkins LDAP Plugin: Unkontrolliertes Folgen von LDAP-Referrals

    CVE-2026-48916 Mittel

    Das Jenkins LDAP Plugin 807.v7d7de30930cf und früher folgt LDAP-Referrals ohne Einschränkung. Dies kann dazu missbraucht werden, Anfragen an unbeabsichtigte LDAP-Server umzuleiten. CVSS-Basiswert: 6.6 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.6 EPSS: 0.05% Publiziert: Referenz: NVD
  48. Jenkins Server MCP – Pfadmanipulation in jobPath-Funktion

    CVE-2026-10276 Mittel

    In hekmon8 Jenkins-server-mcp Version 0.1.0 wurde eine Schwachstelle in der Funktion jobPath der Datei src/index.ts gefunden, welche die Komponenten get_build_status, get_build_log und trigger_build betrifft. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.3 EPSS: 0.04% Publiziert: Referenz: NVD
  49. Jenkins Job Import Plugin: Fehlende Berechtigungsprüfung an HTTP-Endpunkt

    CVE-2026-48926 Mittel

    Das Jenkins Job Import Plugin 143.v044a_2e819b_27 und früher führt an einem HTTP-Endpunkt keine Berechtigungsprüfung durch. Angreifer mit Overall/Read-Berechtigung können dadurch Credential-IDs aus dem Credential-Store aufzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD
  50. Jenkins Active Directory Plugin: LDAP-Filter-Injection über Benutzernamen

    CVE-2026-57288 Niedrig

    Das Jenkins Active Directory Plugin in Version 2.41.1 und früher maskiert den Benutzernamen nicht, bevor im Windows-nativen (ADSI) Authentifizierungspfad der LDAP-Suchfilter aufgebaut wird, was nicht authentifizierten Angreifern eine Manipulation ermöglicht. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung des betroffenen Plugins nach Verfügbarkeit.

    CVSS: 3.7 EPSS: 0.22% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Jenkins, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog