Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-42523 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-29 |
| Producent | Jenkins |
| Produkt | GitHub Plugin |
| CVSS Score | 9.0 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Jenkins GitHub Plugin w wersji 1.46.0 i wcześniejszych nieprawidłowo przetwarza URL bieżącego zadania jako część kodu JavaScript implementującego walidację funkcji “GitHub hook trigger for GITScm polling”, co skutkuje podatnością stored cross-site scripting (XSS) możliwą do wykorzystania przez nieanonimowych atakujących z uprawnieniem Overall/Read.
Wymagane działania
Zaktualizuj plugin Jenkins GitHub Plugin do wersji nowszej niż 1.46.0 (zgodnie z najnowszym wydaniem opublikowanym na Jenkins update center). Przejrzyj listę użytkowników z uprawnieniem Overall/Read i ogranicz dostęp wyłącznie do zaufanych członków zespołu. Po aktualizacji rozważ wymuszenie ponownego logowania administratorów, aby unieważnić ewentualne sesje skradzione przez exploit.
Kogo dotyczy?
Podatność dotyczy produktu GitHub Plugin firmy Jenkins. Sprawdź czy Twoja organizacja używa Jenkins z pluginem GitHub i wdroż aktualizację - typowo dotyczy zespołów CI/CD.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
