<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Jenkins</title>
    <link>https://feed.xonatec.ch/produkte/jenkins</link>
    <description>Priorisierte Schwachstellen-Reports für Jenkins. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/jenkins.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2018-1000861 — Jenkins Stapler Web Framework – Deserialisierung nicht vertrauenswürdiger Daten</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-1000861</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-1000861</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Jenkins Stapler Web Framework wurde eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

Severity: Aktiv ausgenutzt · EPSS: 94.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: jenkins</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Jenkins</category>
    </item>
    <item>
      <title>🔴 CVE-2017-1000353 — Jenkins – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-1000353</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-1000353</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Jenkins wurde eine Schwachstelle zur Remote-Ausführung von Schadcode bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

Severity: Aktiv ausgenutzt · EPSS: 94.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: jenkins</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Jenkins</category>
    </item>
    <item>
      <title>🔴 CVE-2024-23897 — Jenkins CLI – Path Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-23897</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-23897</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Jenkins Command Line Interface (CLI) wurde eine Path-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

Severity: Aktiv ausgenutzt · EPSS: 94.5% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: jenkins</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Jenkins</category>
    </item>
    <item>
      <title>🔴 CVE-2019-1003029 — Jenkins Script Security Plugin – Sandbox-Umgehung</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-1003029</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-1003029</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Jenkins Script Security Plugin wurde eine Schwachstelle zur Umgehung der Sandbox-Isolation entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.6 %.

Severity: Aktiv ausgenutzt · EPSS: 92.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: jenkins</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Jenkins</category>
    </item>
    <item>
      <title>🔴 CVE-2019-1003030 — Jenkins Matrix Project Plugin – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-1003030</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-1003030</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Jenkins Matrix Project Plugin wurde eine Schwachstelle zur Remote-Ausführung von Schadcode bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.8 %.

Severity: Aktiv ausgenutzt · EPSS: 91.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: jenkins</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Jenkins</category>
    </item>
    <item>
      <title>🔴 CVE-2015-5317 — Jenkins UI – Informationsoffenlegung</title>
      <link>https://feed.xonatec.ch/reports/cve-2015-5317</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2015-5317</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Jenkins-Benutzeroberfläche wurde eine Schwachstelle zur Informationsoffenlegung identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 39.7 %.

Severity: Aktiv ausgenutzt · EPSS: 39.7% · aktiv ausgenutzt (KEV)

Betroffene Produkte: jenkins</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-42523 — Jenkins GitHub Plugin: Stored XSS bei GitHub-Hook-Trigger-Validierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42523</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42523</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins GitHub Plugin 1.46.0 und früher verarbeitet die aktuelle Job-URL im JavaScript zur Validierung der Funktion „GitHub hook trigger for GITScm polling” unsicher. Dies führt zu einer gespeicherten Cross-Site-Scripting-Lücke (Stored XSS). CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9 · EPSS: 0.0%

Betroffene Produkte: jenkins, github-enterprise</description>
      <category>Kritisch</category><category>Jenkins</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-53435 — Jenkins – Deserialisierung beliebiger Typen aus angreiferkontrollierter config.xml</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53435</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53435</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Jenkins 2.567 und früher sowie LTS 2.555.2 und früher können Angreifer Jenkins dazu bringen, beliebige in Jenkins-Core oder Plugins definierte Typen aus einer angreiferkontrollierten config.xml zu deserialisieren. CVSS-Basiswert: 8.8 (Hoch); der Angriff ist über das Netzwerk mit niedrigen Rechten und ohne Nutzerinteraktion möglich und wirkt auf Vertraulichkeit, Integrität und Verfügbarkeit. Ausnutzungswahrscheinlichkeit (EPSS): 14.9 % – ein für neue Meldungen ungewöhnlich hoher Wert. Empfohlene Massnahme: auf eine Jenkins-Version oberhalb der genannten Stände aktualisieren.

Severity: Hoch · CVSS: 8.8 · EPSS: 14.9%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-42520 — Jenkins Credentials Binding Plugin: Fehlende Dateinamen-Bereinigung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42520</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42520</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Credentials Binding Plugin 719.v80e905ef14eb_ und früher bereinigt Dateinamen für Datei- und ZIP-Datei-Credentials nicht ausreichend. Angreifer mit Schreibzugriff auf Job-Credentials können dadurch Dateien an unvorgesehene Orte schreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 2.7 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 2.7%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-48922 — Jenkins Credentials Binding Plugin: Unzureichende Dateinamen-Bereinigung (v720)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48922</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48922</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Credentials Binding Plugin 720.v3f6decef43ea_ und früher bereinigt Dateinamen für Datei- und ZIP-Datei-Credentials nicht ausreichend. Angreifer mit Schreibzugriff auf Job-Credentials können dadurch Dateien an beliebige Pfade schreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.6 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 1.6%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57281 — Jenkins Script Security Plugin: Sandbox-Umgehung über Groovy-AST-Transformationen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57281</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57281</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Script Security Plugin 1402.v94c9ce464861 und früher weist Groovy-AST-Transformations-Annotationen mit einem `extensions`-Member nicht zurück. Dadurch können Angreifer, die Sandbox-Groovy-Skripte ausführen dürfen, die Sandbox umgehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.6%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57301 — Jenkins OWASP ZAP Plugin: Build-Operationen auf dem Controller</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57301</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57301</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins OWASP ZAP Plugin in Version 1.0.7 und früher führt Build-Operationen auf dem Jenkins-Controller statt auf dem zugewiesenen Agenten aus. Dadurch können Angreifer mit der Berechtigung Item/Configure laut Quelle beliebigen Code ausführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.4%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-48920 — Jenkins Email Extension Plugin: Server-Side Request Forgery via Bild-Inline</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48920</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48920</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Email Extension Plugin 1933.v45cec755423f und früher erlaubt das Einbetten von Bildern als Base64 im E-Mail-Inhalt über das Attribut `data-inline`, ohne die verwendeten Bild-URLs einzuschränken. Angreifer können so serverseitige Anfragen an beliebige URLs auslösen (SSRF). CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.4%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57280 — Jenkins Script Security Plugin: Sandbox-Umgehung über impliziten Typecast</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57280</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57280</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Script Security Plugin 1402.v94c9ce464861 und früher fängt die impliziten Typumwandlungen bei den Elementen typisierter for-each-Schleifen in sandboxed Groovy-Skripten nicht ab, was Angreifern eine Umgehung der Sandbox ermöglicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Script Security Plugin auf eine gegenüber 1402.v94c9ce464861 neuere, korrigierte Version aktualisieren.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.4%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-48921 — Jenkins Pipeline Groovy Libraries Plugin: Symbolische Links in Shared Libraries</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48921</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48921</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Pipeline: Groovy Libraries Plugin 797.v90ea_a_9b_e45a_0 und früher verbietet symbolische Links in Shared Libraries nicht. Angreifer mit Kontrolle über den Inhalt einer verwendeten Bibliothek können so auf Dateien ausserhalb des vorgesehenen Verzeichnisses zugreifen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-33001 — Jenkins: Path-Traversal beim Entpacken von TAR-Archiven</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33001</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33001</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Jenkins 2.554 und früher sowie LTS 2.541.2 und früher verarbeiten symbolische Links beim Extrahieren von .tar- und .tar.gz-Archiven nicht sicher. Präparierte Archive können dadurch Dateien an beliebige Stellen im Dateisystem schreiben. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.3%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57303 — Jenkins Assembla Plugin: XML-External-Entity-Schwachstelle (bis 1.4)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57303</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57303</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Assembla Plugin 1.4 und früher konfiguriert seinen XML-Parser nicht gegen XML-External-Entity-(XXE)-Angriffe, sodass Angreifer, die die Antworten des konfigurierten Assembla-Servers kontrollieren können, dies ausnutzen können. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Hoch · CVSS: 7.1 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-33002 — Jenkins: Fehlerhafte Origin-Validierung am CLI-WebSocket-Endpunkt</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33002</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33002</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Jenkins 2.442 bis 2.554 sowie LTS 2.426.3 bis LTS 2.541.2 berechnet die erwartete Herkunft (Origin) von Anfragen am CLI-WebSocket-Endpunkt fehlerhaft. Dies kann zur Umgehung von Herkunftsprüfungen genutzt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-27099 — Jenkins: Stored XSS in „Mark temporarily offline”-Beschreibung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27099</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27099</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Jenkins 2.483 bis 2.550 sowie LTS 2.492.1 bis 2.541.1 wird die benutzerdefinierte Beschreibung der „Mark temporarily offline”-Funktion nicht ausreichend maskiert, was eine gespeicherte Cross-Site-Scripting-Lücke (Stored XSS) ermöglicht. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8 · EPSS: 0.1%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-42524 — Jenkins HTML Publisher Plugin: Stored XSS in Legacy-Wrapper-Datei</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42524</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42524</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins HTML Publisher Plugin 427 und früher maskiert Jobnamen und URLs in der Legacy-Wrapper-Datei nicht korrekt, was eine gespeicherte Cross-Site-Scripting-Lücke (Stored XSS) ermöglicht. Die Lücke ist durch Angreifer mit entsprechenden Berechtigungen ausnutzbar. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8 · EPSS: 0.1%

Betroffene Produkte: jenkins</description>
      <category>Hoch</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-53437 — Jenkins: Open Redirect nach Login über manipulierte Redirect-URL</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53437</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53437</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Jenkins 2.567 und früher sowie LTS 2.555.2 und früher bestimmen fehlerhaft, ob eine Redirect-URL nach dem Login tatsächlich auf Jenkins verweist, wenn diese Tabulator- oder Zeilenumbruchzeichen zwischen `//` enthält. Dadurch lässt sich ein Open Redirect auslösen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Jenkins-Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.4%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-53436 — CVE-2026-53436 – Open Redirect nach Login (Jenkins)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53436</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53436</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Jenkins 2.567 und älter sowie LTS 2.555.2 und älter stufen eine Redirect-URL nach dem Login fälschlich als legitim auf Jenkins zeigend ein, wenn sie relative Pfadsegmente (`./` oder `../`) enthält. Dadurch lässt sich eine Weiterleitung auf eine fremde Ziel-URL erzwingen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine bereinigte Jenkins-Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.3%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57284 — Jenkins Pipeline: Groovy Plugin: Uneingeschränkte Typinstanziierung im Snippet Generator</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57284</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57284</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Pipeline: Groovy Plugin in Version 4331.v9d06ed4658ff und früher schränkt die Typen nicht ein, die über den Pipeline Snippet Generator instanziiert werden können, sodass Angreifer sicherheitsrelevante Typen instanziieren können. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung des betroffenen Plugins nach Verfügbarkeit.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.3%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-53441 — Jenkins – Stored XSS über nicht escapte Offline-Ursachenbeschreibung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53441</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53441</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Jenkins 2.483 bis 2.567 (jeweils inklusive) sowie LTS 2.492.1 bis 2.555.2 (jeweils inklusive) escapen die vom Benutzer angegebene Beschreibung einer generischen Offline-Ursache nicht, die per POST gesetzt werden kann. Dies ermöglicht Stored Cross-Site-Scripting. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Jenkins-Version aktualisieren.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.3%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-53440 — Jenkins: Offene Weiterleitung in der Servlet-Container-Delegation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53440</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53440</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Jenkins 2.567 und älter sowie LTS 2.555.2 und älter stellen nicht sicher, dass der Parameter from im Sicherheits-Realm Delegate to servlet container nach dem Login ein sicheres Weiterleitungsziel ist, wodurch eine offene Weiterleitung (Open Redirect) möglich wird. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine Jenkins-Version neuer als 2.567 bzw. LTS neuer als 2.555.2 aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-53439 — Jenkins: Fehlende Berechtigungsprüfungen offenbaren Zeitzonen und View-Namen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53439</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53439</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Jenkins 2.567 und früher sowie LTS 2.555.2 und früher erlauben fehlende Berechtigungsprüfungen Angreifern mit der Berechtigung Overall/Read, die konfigurierte Zeitzone anderer Benutzer zu ermitteln und View-Namen aufzuzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Jenkins auf eine fehlerbereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57286 — Jenkins Git Parameter Plugin: Fehlende Berechtigungsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57286</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57286</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Jenkins Git Parameter Plugin 462.vdcf3df2ed2ca_ und früher fehlt eine Berechtigungsprüfung. Angreifer mit Item/Read-Berechtigung können dadurch Informationen über das von einem Job genutzte SCM-Repository erlangen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Git Parameter Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57285 — CVE-2026-57285 – Fehlende Berechtigungsprüfung im GitHub Branch Source Plugin (Jenkins)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57285</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57285</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlende Berechtigungsprüfung im Jenkins GitHub Branch Source Plugin 1967.1969.v205fd594c821 und älter erlaubt Angreifern mit Overall/Read-Berechtigung, die URLs konfigurierter GitHub-Enterprise-Server auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins, github-enterprise</description>
      <category>Mittel</category><category>Jenkins</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-53438 — Jenkins: Fehlende Berechtigungsprüfung beim Abbrechen von Queue-Items</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53438</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53438</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlende Berechtigungsprüfung in Jenkins 2.567 und früher sowie LTS 2.555.2 und früher erlaubt Angreifern mit Item/Cancel-, aber ohne Item/Read-Berechtigung, Queue-Items abzubrechen, auf die sie keinen Lesezugriff haben. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine korrigierte Jenkins-Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57282 — Jenkins Git client Plugin – Unzureichendes Escaping des Workspace-Namens</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57282</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57282</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Git client Plugin 6.6.0 und früher maskiert den Namen des Workspace-Verzeichnisses nicht korrekt, wenn er in ein generiertes SSH-Wrapper-Skript eingebettet wird. Angreifer, die den Namen kontrollieren können, können dies ausnutzen. CVSS-Basiswert: 5.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 5 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-53442 — Jenkins speichert Secrets aus config.xml unverschlüsselt</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53442</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53442</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Jenkins 2.567 und früher sowie LTS 2.555.2 und früher verschlüsseln Secrets aus POST-config.xml-Übermittlungen nicht, bevor sie unverschlüsselt in den Job-Konfigurationsdateien (config.xml) auf dem Jenkins-Controller gespeichert werden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine fehlerbereinigte Jenkins-Version aktualisieren.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57300 — Jenkins MCP Server Plugin: Fehlende Berechtigungsprüfung ermöglicht Auslesen von Replay-Skripten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57300</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57300</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlende Berechtigungsprüfung im Jenkins-Plugin „MCP Server“ (Version 0.177.v629fdb_2557fe und früher) erlaubt Angreifern mit Item/Read-Berechtigung, die Pipeline-Replay-Skripte der für sie zugänglichen Jobs auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57302 — Jenkins FitNesse Plugin: Passwörter unverschlüsselt gespeichert</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57302</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57302</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins FitNesse Plugin in Version 1.36 und früher speichert Passwörter unverschlüsselt in den job config.xml-Dateien auf dem Jenkins-Controller, wo sie von Benutzern mit Extended-Read-Berechtigung oder entsprechendem Zugriff eingesehen werden können. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung des betroffenen Plugins nach Verfügbarkeit.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57297 — Jenkins Contrast-Plugin: Fehlende Berechtigungsprüfung (SSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57297</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57297</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlende Berechtigungsprüfung im Jenkins Contrast Continuous Application Security Plugin 3.11 und älter erlaubt Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer vom Angreifer angegebenen URL aufzubauen (SSRF-artig). CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Das Contrast-Plugin auf eine Version neuer als 3.11 aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57299 — Jenkins Contrast Continuous Application Security Plugin: Fehlende Berechtigungsprüfungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57299</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57299</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Fehlende Berechtigungsprüfungen im Jenkins Contrast Continuous Application Security Plugin 3.11 und früher erlauben Angreifern mit Overall/Read-Berechtigung, die Namen konfigurierter Contrast-Metadaten aufzuzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57294 — Jenkins EC2 Fleet Plugin: fehlende Berechtigungsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57294</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57294</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlende Berechtigungsprüfung im Jenkins EC2 Fleet Plugin 4.2.3.539.v8fedff2a_81c3 und früher erlaubt Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer vom Angreifer angegebenen URL herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das betroffene Plugin auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57304 — Jenkins Assembla Plugin – fehlende Berechtigungsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57304</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57304</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Jenkins Assembla Plugin 1.4 und früher erlaubt eine fehlende Berechtigungsprüfung Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer angreiferseitig vorgegebenen URL mit angreiferseitig vorgegebenem Benutzernamen und Passwort herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine vom Hersteller bereitgestellte, korrigierte Plugin-Version aktualisieren.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57283 — Jenkins Pipeline: Groovy Plugin: Cross-Site Request Forgery (CSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57283</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57283</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins-Plugin „Pipeline: Groovy“ (Version 4331.v9d06ed4658ff und früher) erlaubt Angreifern, bestimmte Typen im Zusammenhang mit der Job- oder Systemkonfiguration zu instanziieren. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57290 — Jenkins Priority Sorter Plugin: Cross-Site Request Forgery (CSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57290</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57290</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Priority Sorter Plugin 936.v2c01c6b_84449 und früher erlaubt Angreifern, die globale Konfiguration der Job-Priorität zu überschreiben. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine fehlerbereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57307 — Jenkins Zowe zDevOps Plugin: Fehlende Berechtigungsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57307</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57307</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlende Berechtigungsprüfung im Jenkins Zowe zDevOps Plugin 1.1.3.50.ve350c9b_450b_1 und früher erlaubt Angreifern mit Overall/Read-Berechtigung, eine Verbindung zu einer vom Angreifer angegebenen URL herzustellen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 4.2 · EPSS: 0.1%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57287 — Jenkins Job Configuration History Plugin: Klartext-Anzeige verschlüsselter Secrets</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57287</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57287</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Job Configuration History Plugin 1356.ve360da_6c523a_ und früher schwärzt die verschlüsselten Werte von Secrets bei der Anzeige historischer Job- und Agent-Konfigurationen nicht, wodurch berechtigte Angreifer diese einsehen können. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Plugin auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.1%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57295 — Jenkins EC2 Fleet Plugin: Cross-Site Request Forgery (CSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57295</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57295</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins EC2 Fleet Plugin 4.2.3.539.v8fedff2a_81c3 und früher erlaubt es Angreifern, eine Verbindung zu einer vom Angreifer bestimmten URL mit vom Angreifer bestimmten Zugangsdaten herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das betroffene Plugin auf eine bereitgestellte, korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.1%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57305 — Jenkins Assembla Plugin: Cross-Site Request Forgery (CSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57305</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57305</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Assembla Plugin 1.4 und früher erlaubt Angreifern, eine Verbindung zu einer angreiferseitig festgelegten URL mit angreiferseitig festgelegtem Benutzernamen und Passwort herzustellen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren bzw. dem Jenkins-Sicherheitshinweis folgen.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.1%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57306 — Jenkins Zowe zDevOps-Plugin: Cross-Site Request Forgery (CSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57306</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57306</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Zowe zDevOps Plugin 1.1.3.50.ve350c9b_450b_1 und älter erlaubt Angreifern, eine Verbindung zu einer vom Angreifer angegebenen URL mit vom Angreifer angegebenen Zugangsdaten aufzubauen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Das Zowe zDevOps Plugin auf eine Version neuer als 1.1.3.50.ve350c9b_450b_1 aktualisieren.

Severity: Mittel · CVSS: 4.2 · EPSS: 0.1%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57289 — CVE-2026-57289 – Deaktivierte TLS-Zertifikatsprüfung (Jenkins-Plugin)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57289</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57289</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Bitbucket Push and Pull Request Plugin in Version 3.3.8 und älter deaktiviert bedingungslos die SSL/TLS-Zertifikats- und Hostnamen-Validierung für Verbindungen, die mit Bearer-Token authentifizierte Anfragen senden. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 4.8 · EPSS: 0.1%

Betroffene Produkte: jenkins, atlassian-jira-confluence-bitbucket</description>
      <category>Mittel</category><category>Jenkins</category><category>Atlassian (Jira/Confluence/Bitbucket)</category>
    </item>
    <item>
      <title>CVE-2026-48917 — Jenkins LDAP Plugin: Unsichere Deserialisierung von LDAP-Referral-Daten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48917</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48917</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins LDAP Plugin 807.v7d7de30930cf und früher deserialisiert Daten aus LDAP-Referrals ohne Validierung. Dies kann zur Ausführung von schadhaftem Code führen, wenn ein Angreifer Kontrolle über den referenzierten LDAP-Server hat. CVSS-Basiswert: 6.6 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 6.6 · EPSS: 0.1%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-48916 — Jenkins LDAP Plugin: Unkontrolliertes Folgen von LDAP-Referrals</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48916</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48916</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins LDAP Plugin 807.v7d7de30930cf und früher folgt LDAP-Referrals ohne Einschränkung. Dies kann dazu missbraucht werden, Anfragen an unbeabsichtigte LDAP-Server umzuleiten. CVSS-Basiswert: 6.6 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · CVSS: 6.6 · EPSS: 0.0%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-10276 — Jenkins Server MCP – Pfadmanipulation in jobPath-Funktion</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10276</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10276</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In hekmon8 Jenkins-server-mcp Version 0.1.0 wurde eine Schwachstelle in der Funktion jobPath der Datei src/index.ts gefunden, welche die Komponenten get_build_status, get_build_log und trigger_build betrifft. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · CVSS: 6.3 · EPSS: 0.0%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-48926 — Jenkins Job Import Plugin: Fehlende Berechtigungsprüfung an HTTP-Endpunkt</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48926</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48926</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Job Import Plugin 143.v044a_2e819b_27 und früher führt an einem HTTP-Endpunkt keine Berechtigungsprüfung durch. Angreifer mit Overall/Read-Berechtigung können dadurch Credential-IDs aus dem Credential-Store aufzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.0%

Betroffene Produkte: jenkins</description>
      <category>Mittel</category><category>Jenkins</category>
    </item>
    <item>
      <title>CVE-2026-57288 — Jenkins Active Directory Plugin: LDAP-Filter-Injection über Benutzernamen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57288</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57288</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Active Directory Plugin in Version 2.41.1 und früher maskiert den Benutzernamen nicht, bevor im Windows-nativen (ADSI) Authentifizierungspfad der LDAP-Suchfilter aufgebaut wird, was nicht authentifizierten Angreifern eine Manipulation ermöglicht. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung des betroffenen Plugins nach Verfügbarkeit.

Severity: Niedrig · CVSS: 3.7 · EPSS: 0.2%

Betroffene Produkte: jenkins</description>
      <category>Niedrig</category><category>Jenkins</category>
    </item>
  </channel>
</rss>
