[TLP:CLEAR] Jenkins opravuje 2 zranitelnosti
Jenkins verzemi 2.551 (weekly) a 2.541.2 (LTS) opravuje 2 zranitelnosti [1].
Autentizovanému vzdálenému útočníkovi s právy Agent/Configure nebo Agent/Disconnect je umožněno vykonat útok stored XSS [1][2].
Zranitelnost se nachází v produktech:
- Jenkins (weekly) ve verzích >=2.483 AND <2.551
- Jenkins (LTS) ve verzích >=2.492.1 AND <2.541.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-27099 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 2. 2026.
Autentizovanému vzdálenému útočníkovi s právy Item/Build a Item/Configure je za určitých podmínek umožněno neoprávněně získat informace o existenci konkrétních úloh a sestavení (jobs & builds), případně zobrazovaném názvu [1].
Zranitelnost se nachází v produktech:
- Jenkins (weekly) ve verzích <2.551
- Jenkins (LTS) ve verzích <2.541.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2026-27100 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 2. 2026.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 23. 2. 2026.
