Jenkins
Jenkins gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Jenkins kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
50 ReportsZeige 1 bis 50 von 50
-
Jenkins Stapler Web Framework – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2018-1000861 Aktiv ausgenutztIm Jenkins Stapler Web Framework wurde eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.
EPSS: 94.48% Publiziert: Referenz: CISA KEV -
Jenkins – Remote Code Execution
CVE-2017-1000353 Aktiv ausgenutztIn Jenkins wurde eine Schwachstelle zur Remote-Ausführung von Schadcode bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.
EPSS: 94.48% Publiziert: Referenz: CISA KEV -
Jenkins CLI – Path Traversal
CVE-2024-23897 Aktiv ausgenutzt RansomwareIn der Jenkins Command Line Interface (CLI) wurde eine Path-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.
EPSS: 94.47% Publiziert: Referenz: CISA KEV -
Jenkins Script Security Plugin – Sandbox-Umgehung
CVE-2019-1003029 Aktiv ausgenutztIm Jenkins Script Security Plugin wurde eine Schwachstelle zur Umgehung der Sandbox-Isolation entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.6 %.
EPSS: 92.65% Publiziert: Referenz: CISA KEV -
Jenkins Matrix Project Plugin – Remote Code Execution
CVE-2019-1003030 Aktiv ausgenutztIm Jenkins Matrix Project Plugin wurde eine Schwachstelle zur Remote-Ausführung von Schadcode bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.8 %.
EPSS: 91.82% Publiziert: Referenz: CISA KEV -
Jenkins UI – Informationsoffenlegung
CVE-2015-5317 Aktiv ausgenutztIn der Jenkins-Benutzeroberfläche wurde eine Schwachstelle zur Informationsoffenlegung identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 39.7 %.
EPSS: 39.70% Publiziert: Referenz: CISA KEV -
Jenkins GitHub Plugin: Stored XSS bei GitHub-Hook-Trigger-Validierung
CVE-2026-42523 KritischDas Jenkins GitHub Plugin 1.46.0 und früher verarbeitet die aktuelle Job-URL im JavaScript zur Validierung der Funktion „GitHub hook trigger for GITScm polling” unsicher. Dies führt zu einer gespeicherten Cross-Site-Scripting-Lücke (Stored XSS). CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.0 EPSS: 0.05% Publiziert: Referenz: NVD -
Jenkins – Deserialisierung beliebiger Typen aus angreiferkontrollierter config.xml
CVE-2026-53435 HochIn Jenkins 2.567 und früher sowie LTS 2.555.2 und früher können Angreifer Jenkins dazu bringen, beliebige in Jenkins-Core oder Plugins definierte Typen aus einer angreiferkontrollierten config.xml zu deserialisieren. CVSS-Basiswert: 8.8 (Hoch); der Angriff ist über das Netzwerk mit niedrigen Rechten und ohne Nutzerinteraktion möglich und wirkt auf Vertraulichkeit, Integrität und Verfügbarkeit. Ausnutzungswahrscheinlichkeit (EPSS): 14.9 % – ein für neue Meldungen ungewöhnlich hoher Wert. Empfohlene Massnahme: auf eine Jenkins-Version oberhalb der genannten Stände aktualisieren.
CVSS: 8.8 EPSS: 14.91% Publiziert: Referenz: NVD -
Jenkins Credentials Binding Plugin: Fehlende Dateinamen-Bereinigung
CVE-2026-42520 HochDas Jenkins Credentials Binding Plugin 719.v80e905ef14eb_ und früher bereinigt Dateinamen für Datei- und ZIP-Datei-Credentials nicht ausreichend. Angreifer mit Schreibzugriff auf Job-Credentials können dadurch Dateien an unvorgesehene Orte schreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 2.7 %.
CVSS: 7.5 EPSS: 2.74% Publiziert: Referenz: NVD -
Jenkins Credentials Binding Plugin: Unzureichende Dateinamen-Bereinigung (v720)
CVE-2026-48922 HochDas Jenkins Credentials Binding Plugin 720.v3f6decef43ea_ und früher bereinigt Dateinamen für Datei- und ZIP-Datei-Credentials nicht ausreichend. Angreifer mit Schreibzugriff auf Job-Credentials können dadurch Dateien an beliebige Pfade schreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.6 %.
CVSS: 7.5 EPSS: 1.58% Publiziert: Referenz: NVD -
Jenkins Script Security Plugin: Sandbox-Umgehung über Groovy-AST-Transformationen
CVE-2026-57281 HochDas Jenkins Script Security Plugin 1402.v94c9ce464861 und früher weist Groovy-AST-Transformations-Annotationen mit einem `extensions`-Member nicht zurück. Dadurch können Angreifer, die Sandbox-Groovy-Skripte ausführen dürfen, die Sandbox umgehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.
CVSS: 7.5 EPSS: 0.59% Publiziert: Referenz: NVD -
Jenkins OWASP ZAP Plugin: Build-Operationen auf dem Controller
CVE-2026-57301 HochDas Jenkins OWASP ZAP Plugin in Version 1.0.7 und früher führt Build-Operationen auf dem Jenkins-Controller statt auf dem zugewiesenen Agenten aus. Dadurch können Angreifer mit der Berechtigung Item/Configure laut Quelle beliebigen Code ausführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 8.8 EPSS: 0.42% Publiziert: Referenz: NVD -
Jenkins Email Extension Plugin: Server-Side Request Forgery via Bild-Inline
CVE-2026-48920 HochDas Jenkins Email Extension Plugin 1933.v45cec755423f und früher erlaubt das Einbetten von Bildern als Base64 im E-Mail-Inhalt über das Attribut `data-inline`, ohne die verwendeten Bild-URLs einzuschränken. Angreifer können so serverseitige Anfragen an beliebige URLs auslösen (SSRF). CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.8 EPSS: 0.40% Publiziert: Referenz: NVD -
Jenkins Script Security Plugin: Sandbox-Umgehung über impliziten Typecast
CVE-2026-57280 HochDas Jenkins Script Security Plugin 1402.v94c9ce464861 und früher fängt die impliziten Typumwandlungen bei den Elementen typisierter for-each-Schleifen in sandboxed Groovy-Skripten nicht ab, was Angreifern eine Umgehung der Sandbox ermöglicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Script Security Plugin auf eine gegenüber 1402.v94c9ce464861 neuere, korrigierte Version aktualisieren.
CVSS: 8.8 EPSS: 0.37% Publiziert: Referenz: NVD -
Jenkins Pipeline Groovy Libraries Plugin: Symbolische Links in Shared Libraries
CVE-2026-48921 HochDas Jenkins Pipeline: Groovy Libraries Plugin 797.v90ea_a_9b_e45a_0 und früher verbietet symbolische Links in Shared Libraries nicht. Angreifer mit Kontrolle über den Inhalt einer verwendeten Bibliothek können so auf Dateien ausserhalb des vorgesehenen Verzeichnisses zugreifen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD -
Jenkins: Path-Traversal beim Entpacken von TAR-Archiven
CVE-2026-33001 HochJenkins 2.554 und früher sowie LTS 2.541.2 und früher verarbeiten symbolische Links beim Extrahieren von .tar- und .tar.gz-Archiven nicht sicher. Präparierte Archive können dadurch Dateien an beliebige Stellen im Dateisystem schreiben. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.8 EPSS: 0.26% Publiziert: Referenz: NVD -
Jenkins Assembla Plugin: XML-External-Entity-Schwachstelle (bis 1.4)
CVE-2026-57303 HochDas Jenkins Assembla Plugin 1.4 und früher konfiguriert seinen XML-Parser nicht gegen XML-External-Entity-(XXE)-Angriffe, sodass Angreifer, die die Antworten des konfigurierten Assembla-Servers kontrollieren können, dies ausnutzen können. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 7.1 EPSS: 0.22% Publiziert: Referenz: NVD -
Jenkins: Fehlerhafte Origin-Validierung am CLI-WebSocket-Endpunkt
CVE-2026-33002 HochJenkins 2.442 bis 2.554 sowie LTS 2.426.3 bis LTS 2.541.2 berechnet die erwartete Herkunft (Origin) von Anfragen am CLI-WebSocket-Endpunkt fehlerhaft. Dies kann zur Umgehung von Herkunftsprüfungen genutzt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD -
Jenkins: Stored XSS in „Mark temporarily offline”-Beschreibung
CVE-2026-27099 HochIn Jenkins 2.483 bis 2.550 sowie LTS 2.492.1 bis 2.541.1 wird die benutzerdefinierte Beschreibung der „Mark temporarily offline”-Funktion nicht ausreichend maskiert, was eine gespeicherte Cross-Site-Scripting-Lücke (Stored XSS) ermöglicht. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.0 EPSS: 0.07% Publiziert: Referenz: NVD -
Jenkins HTML Publisher Plugin: Stored XSS in Legacy-Wrapper-Datei
CVE-2026-42524 HochDas Jenkins HTML Publisher Plugin 427 und früher maskiert Jobnamen und URLs in der Legacy-Wrapper-Datei nicht korrekt, was eine gespeicherte Cross-Site-Scripting-Lücke (Stored XSS) ermöglicht. Die Lücke ist durch Angreifer mit entsprechenden Berechtigungen ausnutzbar. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.0 EPSS: 0.05% Publiziert: Referenz: NVD -
Jenkins: Open Redirect nach Login über manipulierte Redirect-URL
CVE-2026-53437 MittelJenkins 2.567 und früher sowie LTS 2.555.2 und früher bestimmen fehlerhaft, ob eine Redirect-URL nach dem Login tatsächlich auf Jenkins verweist, wenn diese Tabulator- oder Zeilenumbruchzeichen zwischen `//` enthält. Dadurch lässt sich ein Open Redirect auslösen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Jenkins-Version aktualisieren.
CVSS: 4.3 EPSS: 0.36% Publiziert: Referenz: NVD -
CVE-2026-53436 – Open Redirect nach Login (Jenkins)
CVE-2026-53436 MittelJenkins 2.567 und älter sowie LTS 2.555.2 und älter stufen eine Redirect-URL nach dem Login fälschlich als legitim auf Jenkins zeigend ein, wenn sie relative Pfadsegmente (`./` oder `../`) enthält. Dadurch lässt sich eine Weiterleitung auf eine fremde Ziel-URL erzwingen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine bereinigte Jenkins-Version aktualisieren.
CVSS: 4.3 EPSS: 0.28% Publiziert: Referenz: NVD -
Jenkins Pipeline: Groovy Plugin: Uneingeschränkte Typinstanziierung im Snippet Generator
CVE-2026-57284 MittelDas Jenkins Pipeline: Groovy Plugin in Version 4331.v9d06ed4658ff und früher schränkt die Typen nicht ein, die über den Pipeline Snippet Generator instanziiert werden können, sodass Angreifer sicherheitsrelevante Typen instanziieren können. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung des betroffenen Plugins nach Verfügbarkeit.
CVSS: 4.3 EPSS: 0.27% Publiziert: Referenz: NVD -
Jenkins – Stored XSS über nicht escapte Offline-Ursachenbeschreibung
CVE-2026-53441 MittelJenkins 2.483 bis 2.567 (jeweils inklusive) sowie LTS 2.492.1 bis 2.555.2 (jeweils inklusive) escapen die vom Benutzer angegebene Beschreibung einer generischen Offline-Ursache nicht, die per POST gesetzt werden kann. Dies ermöglicht Stored Cross-Site-Scripting. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Jenkins-Version aktualisieren.
CVSS: 5.4 EPSS: 0.26% Publiziert: Referenz: NVD -
Jenkins: Offene Weiterleitung in der Servlet-Container-Delegation
CVE-2026-53440 MittelJenkins 2.567 und älter sowie LTS 2.555.2 und älter stellen nicht sicher, dass der Parameter from im Sicherheits-Realm Delegate to servlet container nach dem Login ein sicheres Weiterleitungsziel ist, wodurch eine offene Weiterleitung (Open Redirect) möglich wird. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine Jenkins-Version neuer als 2.567 bzw. LTS neuer als 2.555.2 aktualisieren.
CVSS: 4.3 EPSS: 0.24% Publiziert: Referenz: NVD -
Jenkins: Fehlende Berechtigungsprüfungen offenbaren Zeitzonen und View-Namen
CVE-2026-53439 MittelIn Jenkins 2.567 und früher sowie LTS 2.555.2 und früher erlauben fehlende Berechtigungsprüfungen Angreifern mit der Berechtigung Overall/Read, die konfigurierte Zeitzone anderer Benutzer zu ermitteln und View-Namen aufzuzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Jenkins auf eine fehlerbereinigte Version aktualisieren.
CVSS: 4.3 EPSS: 0.23% Publiziert: Referenz: NVD -
CVE-2026-57285 – Fehlende Berechtigungsprüfung im GitHub Branch Source Plugin (Jenkins)
CVE-2026-57285 MittelEine fehlende Berechtigungsprüfung im Jenkins GitHub Branch Source Plugin 1967.1969.v205fd594c821 und älter erlaubt Angreifern mit Overall/Read-Berechtigung, die URLs konfigurierter GitHub-Enterprise-Server auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.
CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD -
Jenkins Git Parameter Plugin: Fehlende Berechtigungsprüfung
CVE-2026-57286 MittelIm Jenkins Git Parameter Plugin 462.vdcf3df2ed2ca_ und früher fehlt eine Berechtigungsprüfung. Angreifer mit Item/Read-Berechtigung können dadurch Informationen über das von einem Job genutzte SCM-Repository erlangen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Git Parameter Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD -
Jenkins: Fehlende Berechtigungsprüfung beim Abbrechen von Queue-Items
CVE-2026-53438 MittelEine fehlende Berechtigungsprüfung in Jenkins 2.567 und früher sowie LTS 2.555.2 und früher erlaubt Angreifern mit Item/Cancel-, aber ohne Item/Read-Berechtigung, Queue-Items abzubrechen, auf die sie keinen Lesezugriff haben. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine korrigierte Jenkins-Version aktualisieren.
CVSS: 4.3 EPSS: 0.21% Publiziert: Referenz: NVD -
Jenkins Git client Plugin – Unzureichendes Escaping des Workspace-Namens
CVE-2026-57282 MittelDas Jenkins Git client Plugin 6.6.0 und früher maskiert den Namen des Workspace-Verzeichnisses nicht korrekt, wenn er in ein generiertes SSH-Wrapper-Skript eingebettet wird. Angreifer, die den Namen kontrollieren können, können dies ausnutzen. CVSS-Basiswert: 5.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 5.0 EPSS: 0.21% Publiziert: Referenz: NVD -
Jenkins speichert Secrets aus config.xml unverschlüsselt
CVE-2026-53442 MittelJenkins 2.567 und früher sowie LTS 2.555.2 und früher verschlüsseln Secrets aus POST-config.xml-Übermittlungen nicht, bevor sie unverschlüsselt in den Job-Konfigurationsdateien (config.xml) auf dem Jenkins-Controller gespeichert werden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine fehlerbereinigte Jenkins-Version aktualisieren.
CVSS: 5.3 EPSS: 0.19% Publiziert: Referenz: NVD -
Jenkins MCP Server Plugin: Fehlende Berechtigungsprüfung ermöglicht Auslesen von Replay-Skripten
CVE-2026-57300 MittelEine fehlende Berechtigungsprüfung im Jenkins-Plugin „MCP Server“ (Version 0.177.v629fdb_2557fe und früher) erlaubt Angreifern mit Item/Read-Berechtigung, die Pipeline-Replay-Skripte der für sie zugänglichen Jobs auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 4.3 EPSS: 0.18% Publiziert: Referenz: NVD -
Jenkins FitNesse Plugin: Passwörter unverschlüsselt gespeichert
CVE-2026-57302 MittelDas Jenkins FitNesse Plugin in Version 1.36 und früher speichert Passwörter unverschlüsselt in den job config.xml-Dateien auf dem Jenkins-Controller, wo sie von Benutzern mit Extended-Read-Berechtigung oder entsprechendem Zugriff eingesehen werden können. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung des betroffenen Plugins nach Verfügbarkeit.
CVSS: 4.3 EPSS: 0.18% Publiziert: Referenz: NVD -
Jenkins Contrast-Plugin: Fehlende Berechtigungsprüfung (SSRF)
CVE-2026-57297 MittelEine fehlende Berechtigungsprüfung im Jenkins Contrast Continuous Application Security Plugin 3.11 und älter erlaubt Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer vom Angreifer angegebenen URL aufzubauen (SSRF-artig). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Das Contrast-Plugin auf eine Version neuer als 3.11 aktualisieren.
CVSS: 4.3 EPSS: 0.17% Publiziert: Referenz: NVD -
Jenkins Contrast Continuous Application Security Plugin: Fehlende Berechtigungsprüfungen
CVE-2026-57299 MittelFehlende Berechtigungsprüfungen im Jenkins Contrast Continuous Application Security Plugin 3.11 und früher erlauben Angreifern mit Overall/Read-Berechtigung, die Namen konfigurierter Contrast-Metadaten aufzuzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 4.3 EPSS: 0.17% Publiziert: Referenz: NVD -
Jenkins EC2 Fleet Plugin: fehlende Berechtigungsprüfung
CVE-2026-57294 MittelEine fehlende Berechtigungsprüfung im Jenkins EC2 Fleet Plugin 4.2.3.539.v8fedff2a_81c3 und früher erlaubt Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer vom Angreifer angegebenen URL herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das betroffene Plugin auf eine korrigierte Version aktualisieren.
CVSS: 5.4 EPSS: 0.16% Publiziert: Referenz: NVD -
Jenkins Assembla Plugin – fehlende Berechtigungsprüfung
CVE-2026-57304 MittelIm Jenkins Assembla Plugin 1.4 und früher erlaubt eine fehlende Berechtigungsprüfung Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer angreiferseitig vorgegebenen URL mit angreiferseitig vorgegebenem Benutzernamen und Passwort herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine vom Hersteller bereitgestellte, korrigierte Plugin-Version aktualisieren.
CVSS: 5.4 EPSS: 0.16% Publiziert: Referenz: NVD -
Jenkins Pipeline: Groovy Plugin: Cross-Site Request Forgery (CSRF)
CVE-2026-57283 MittelEine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins-Plugin „Pipeline: Groovy“ (Version 4331.v9d06ed4658ff und früher) erlaubt Angreifern, bestimmte Typen im Zusammenhang mit der Job- oder Systemkonfiguration zu instanziieren. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 4.3 EPSS: 0.16% Publiziert: Referenz: NVD -
Jenkins Priority Sorter Plugin: Cross-Site Request Forgery (CSRF)
CVE-2026-57290 MittelEine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Priority Sorter Plugin 936.v2c01c6b_84449 und früher erlaubt Angreifern, die globale Konfiguration der Job-Priorität zu überschreiben. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.
CVSS: 4.3 EPSS: 0.15% Publiziert: Referenz: NVD -
Jenkins Zowe zDevOps Plugin: Fehlende Berechtigungsprüfung
CVE-2026-57307 MittelEine fehlende Berechtigungsprüfung im Jenkins Zowe zDevOps Plugin 1.1.3.50.ve350c9b_450b_1 und früher erlaubt Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer vom Angreifer angegebenen URL herzustellen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 4.2 EPSS: 0.14% Publiziert: Referenz: NVD -
Jenkins Job Configuration History Plugin: Klartext-Anzeige verschlüsselter Secrets
CVE-2026-57287 MittelDas Jenkins Job Configuration History Plugin 1356.ve360da_6c523a_ und früher schwärzt die verschlüsselten Werte von Secrets bei der Anzeige historischer Job- und Agent-Konfigurationen nicht, wodurch berechtigte Angreifer diese einsehen können. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren.
CVSS: 4.3 EPSS: 0.13% Publiziert: Referenz: NVD -
Jenkins EC2 Fleet Plugin: Cross-Site Request Forgery (CSRF)
CVE-2026-57295 MittelEine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins EC2 Fleet Plugin 4.2.3.539.v8fedff2a_81c3 und früher erlaubt es Angreifern, eine Verbindung zu einer vom Angreifer bestimmten URL mit vom Angreifer bestimmten Zugangsdaten herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das betroffene Plugin auf eine bereitgestellte, korrigierte Version aktualisieren.
CVSS: 5.4 EPSS: 0.13% Publiziert: Referenz: NVD -
Jenkins Assembla Plugin: Cross-Site Request Forgery (CSRF)
CVE-2026-57305 MittelEine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Assembla Plugin 1.4 und früher erlaubt Angreifern, eine Verbindung zu einer angreiferseitig festgelegten URL mit angreiferseitig festgelegtem Benutzernamen und Passwort herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren bzw. dem Jenkins-Sicherheitshinweis folgen.
CVSS: 5.4 EPSS: 0.13% Publiziert: Referenz: NVD -
Jenkins Zowe zDevOps-Plugin: Cross-Site Request Forgery (CSRF)
CVE-2026-57306 MittelEine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Zowe zDevOps Plugin 1.1.3.50.ve350c9b_450b_1 und älter erlaubt Angreifern, eine Verbindung zu einer vom Angreifer angegebenen URL mit vom Angreifer angegebenen Zugangsdaten aufzubauen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Das Zowe zDevOps Plugin auf eine Version neuer als 1.1.3.50.ve350c9b_450b_1 aktualisieren.
CVSS: 4.2 EPSS: 0.11% Publiziert: Referenz: NVD -
CVE-2026-57289 – Deaktivierte TLS-Zertifikatsprüfung (Jenkins-Plugin)
CVE-2026-57289 MittelDas Jenkins Bitbucket Push and Pull Request Plugin in Version 3.3.8 und älter deaktiviert bedingungslos die SSL/TLS-Zertifikats- und Hostnamen-Validierung für Verbindungen, die mit Bearer-Token authentifizierte Anfragen senden. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 4.8 EPSS: 0.11% Publiziert: Referenz: NVD -
Jenkins LDAP Plugin: Unsichere Deserialisierung von LDAP-Referral-Daten
CVE-2026-48917 MittelDas Jenkins LDAP Plugin 807.v7d7de30930cf und früher deserialisiert Daten aus LDAP-Referrals ohne Validierung. Dies kann zur Ausführung von schadhaftem Code führen, wenn ein Angreifer Kontrolle über den referenzierten LDAP-Server hat. CVSS-Basiswert: 6.6 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.6 EPSS: 0.07% Publiziert: Referenz: NVD -
Jenkins LDAP Plugin: Unkontrolliertes Folgen von LDAP-Referrals
CVE-2026-48916 MittelDas Jenkins LDAP Plugin 807.v7d7de30930cf und früher folgt LDAP-Referrals ohne Einschränkung. Dies kann dazu missbraucht werden, Anfragen an unbeabsichtigte LDAP-Server umzuleiten. CVSS-Basiswert: 6.6 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.6 EPSS: 0.05% Publiziert: Referenz: NVD -
Jenkins Server MCP – Pfadmanipulation in jobPath-Funktion
CVE-2026-10276 MittelIn hekmon8 Jenkins-server-mcp Version 0.1.0 wurde eine Schwachstelle in der Funktion jobPath der Datei src/index.ts gefunden, welche die Komponenten get_build_status, get_build_log und trigger_build betrifft. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.3 EPSS: 0.04% Publiziert: Referenz: NVD -
Jenkins Job Import Plugin: Fehlende Berechtigungsprüfung an HTTP-Endpunkt
CVE-2026-48926 MittelDas Jenkins Job Import Plugin 143.v044a_2e819b_27 und früher führt an einem HTTP-Endpunkt keine Berechtigungsprüfung durch. Angreifer mit Overall/Read-Berechtigung können dadurch Credential-IDs aus dem Credential-Store aufzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD -
Jenkins Active Directory Plugin: LDAP-Filter-Injection über Benutzernamen
CVE-2026-57288 NiedrigDas Jenkins Active Directory Plugin in Version 2.41.1 und früher maskiert den Benutzernamen nicht, bevor im Windows-nativen (ADSI) Authentifizierungspfad der LDAP-Suchfilter aufgebaut wird, was nicht authentifizierten Angreifern eine Manipulation ermöglicht. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung des betroffenen Plugins nach Verfügbarkeit.
CVSS: 3.7 EPSS: 0.22% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Jenkins, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.