Jenkins-Plugins mit hoher Schwere: Sicherheitslücken wie Path Traversal und gespeicherte XSS
Jenkins veröffentlichte einen Sicherheitswarnung, Patches für sieben Plugin-Schwachstellen detailliert, darunter hochkritische Path Traversal- Stored Cross-Site Scripting (XSS)-Fehler.
Kurzfassung
Warum das wichtig ist
- Jenkins veröffentlichte einen Sicherheitswarnung, Patches für sieben Plugin-Schwachstellen detailliert, darunter hochkritische Path Traversal- Stored Cross-Site Scripting (XSS)-Fehler.
- Administratoren müssen diese Plugins dringend aktualisieren, um ihre Continuous Integration and Continuous Deployment (CI/CD)-Pipelines vor potenziellen Risiken der Remote Code Execution und des Session Hijacking zu schützen.
- Das kritischste Problem ist eine Path Traversal-Schwachstelle im Credentials Binding Plugin, die offiziell als CVE-2026-42520 verfolgt wird.
Wenn eine Jenkins-Umgebung so konfiguriert ist, dass ein Benutzer mit geringen Privilegien diese Anmeldeinformationen für einen Job, der auf einem integrierten Knoten ausgeführt wird, konfigurieren kann, können Bedrohungsakteure diese Nachlässigkeit ausnutzen.
Sie können bösartige Dateien an beliebigen Speicherorten im zugrunde liegenden Knotensystem erstellen und letztendlich Persistenz herstellen oder eine Remote Code Execution erreichen. Zustzlich bedrohen zwei Stored XSS-Schwachstellen mit hoher Schweregrad die Jenkins-Oberflchen.
CVE-2026-42523 betrifft die GitHub Plugin-Versionen 1.46.0 und frhere. Das Plugin verarbeitet die aktuelle Job-URL whrend der Validierung fr den Mechanismus GitHub hook trigger for GITScm polling fehlerhaft.
Moegliche Anwendungen
Dieser Fehler ermglicht es nicht-anonymen Angreifern mit minimalen Overall/Read-Berechtigungen, schdliches JavaScript in die Anwendung einzuschleusen. hnlich wirkt sich CVE-2026-42524 auf das HTML Publisher Plugin in den Versionen 427 und frher aus.
Das Plugin versumt es, Jobnamen und URLs in seiner Legacy-Wrapper-Datei zu escapen, was es Angreifern mit Item/Configure-Berechtigung ermglicht, verheerende XSS-Angriffe gegen Administratoren durchzufhren, die die Berichte einsehen.
Schwachstellen mit mittlerem Schweregrad Das Advisory hebt auerdem vier Schwachstellen mit mittlerem Schweregrad hervor, die eine sofortige Behebung erfordern.
Das Script Security Plugin (CVE-2026-42519) weist
Das Script Security Plugin (CVE-2026-42519) weist keine ordnungsgemäßen HTTP-Endpunktberechtigungsprüfungen auf, was es Benutzern mit einfachem Overall/Read-Zugriff ermöglicht, ausstehende und genehmigte Classpaths nahtlos zu enumerieren.
Das Matrix Authorization Strategy Plugin (CVE-2026-42521) leidet unter unsicherer Deserialisierung bei der Verarbeitung , was es Angreifern ermöglicht, beliebige Typen zu instanziieren.
Darüber hinaus erlaubt das GitHub Branch Source Plugin (CVE-2026-42522) nicht autorisierte Verbindungstests unter Verwendung Microsoft Entra ID Plugin (CVE-2026-42525) enthält eine Open-Redirect-Schwachstelle, die Phishing-Kampagnen zur Ernte könnte.
Alle Mängel wurden proaktiv über das
Alle Mängel wurden proaktiv über das Jenkins Bug Bounty Program gemeldet, das . Wie in dem Jenkins Project security advisory hervorgehoben, sollten Teams umgehend die neuesten Patches anwenden, um die Entwicklungsinfrastruktur zu sichern.
Die Durchsetzung des Content Security Policy (CSP) Schutzes auf Jenkins LTS 2.541.1 und neuer bietet eine zusätzliche Verteidigungsschicht gegen XSS-Ausbeutung, während Patches ausgerollt werden. Sie uns auf
Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag Jenkins Patches High-Severity Plugin Flaws Including Path Traversal and Stored XSS erschien zuerst auf Cyber Security News.
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
Neue PhaaS-Plattform Phoenix treibt Brand-Impersonation-Smishing in Finanz-, Telekommunikations- und Logistiksektor voran
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Ruhezustand versus Herunterfahren: Was ist besser für Ihren PC?
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- Jenkins Patches High-Severity Plugin Flaws Including Path Traversal and Stored XSS
- Canonical
- https://cybersecuritynews.com/jenkins-patches-multiple-vulnerabilities-2/
- Quell-URL
- https://cybersecuritynews.com/jenkins-patches-multiple-vulnerabilities-2/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Neue PhaaS-Plattform Phoenix treibt Brand-Impersonation-Smishing in Finanz-, Telekommunikations- und Logistiksektor voran
Eine gefährliche neue Phishing-Plattform namens Phoenix verbreitet sich leise weltweit und zielt Menschen durch gefälschte SMS-Nachrichten ab, die so aussehen, als kämen sie von vertrauenswürdigen Banken, Telekommuni
01.05.2026
Live Redaktion
Ruhezustand versus Herunterfahren: Was ist besser für Ihren PC?
Bei dünnen und leichten Laptops wie MacBook Air würde man denken, dass das vollständige Ausschalten Systems den meisten Akku spart, und man hätte recht.
01.05.2026
Live Redaktion
Chinas lebensgroßer, gesichtsloser humanoider Roboter beherrscht 115 Freiheitsgrade
Ein chinesisches KI-Forschungsunternehmen hat KAI enthüllt, einen vollwertigen, gesichtslosen humanoiden Roboter, der über 115 Freiheitsgrade (DoF) und eine taktile Haut mit 18.000 Sensoren für Haushalte Dienstleistu
01.05.2026
Live Redaktion
Schwachstellen in der Google Gemini CLI ermöglichen Angreifern die Ausführung von Befehlen auf Host-Systemen
Eine kritische Remote-Code-Execution-Schwachstelle in Google Gemini CLI und ihrem zugehörigen GitHub Action.
01.05.2026
Live Redaktion