PT-2026-44015 · Jenkins · Credentials Binding Plugin
Mitchell Benjamin
+1
·
Publicado
2026-05-27
·
Atualizado
2026-05-28
·
CVE-2026-48922
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Jenkins Credentials Binding Plugin versões 720.v3f6decef43ea e anteriores
Descrição
A sanitização insuficiente de nomes de arquivos para credenciais de arquivo e arquivo zip permite que atacantes que podem fornecer credenciais a um job escrevam arquivos em locais arbitrários no sistema de arquivos do nó. Este problema de path traversal pode levar à execução remota de código se o Jenkins estiver configurado para permitir que um usuário de baixo privilégio configure credenciais de arquivo ou arquivo zip usadas para um job executado no nó integrado.
Recomendações
Atualize o Jenkins Credentials Binding Plugin para uma versão posterior à 720.v3f6decef43ea .
Correção
RCE
LPE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Credentials Binding Plugin