[TLP:CLEAR]
bollettino di sicurezza 63/2026
Aggiornamenti Jenkins
20-02-2026
jenkins, xss, stored-xss, agent, permission
descrizione
La vulnerabilità identificata in Jenkins 2.550 e versioni precedenti, nonché nella LTS 2.541.1 e antecedenti, riguarda una mancata sanificazione dell'input utente nella descrizione fornita per la causale di offline temporaneo di un agente. Questo porta ad una stored cross-site scripting (XSS), sfruttabile da soggetti con permessi Agent/Configure o Agent/Disconnect.Il bollettino raccomanda di aggiornare all'ultima versione che corregge il problema.
Il rischio tecnico è considerato medio-alto data la possibilità di compromettere l'integrità della sessione utente e la possibilità di escalarne l'impatto tramite privilegio locale.
note
La vulnerabilità interessa un contesto privilegiato e potrebbe essere sfruttata per eseguire codice malevolo lato client.CVE
| CVE | score | severity | CVSS |
|---|---|---|---|
| CVE-2026-27100 | 4.3 | medium | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor |