Jenkins - CVE-2026-57280
Date de publication :
Il s'agit d'une vulnérabilité dans le mécanisme de sandbox Groovy du Script Security Plugin.
Jenkins est un serveur d'automatisation open source pour l'intégration et la livraison continues. Le Script Security Plugin y ajoute un mécanisme de sandbox Groovy destiné à permettre l'exécution de scripts fournis par les utilisateurs dans un environnement contrôlé et restreint.
Dans une boucle for avec typage explicite (ex. for (Type t in collection)), le cast de type implicite appliqué à chaque élément est effectué lors de la génération du bytecode, en dehors de l'AST transformée analysée par la sandbox. Ce cast n'est donc jamais intercepté ni vérifié par les contrôles de sécurité du plugin. Un attaquant disposant de la permission de soumettre des scripts sandboxés peut ainsi invoquer des constructeurs de types arbitraires sans que ces invocations ne soient soumises aux restrictions habituelles. La bibliothèque groovy-sandbox embarquée est la source de la défaillance.
Elle permet une exécution de code arbitraire sur le contrôleur Jenkins.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-693 : Protection Mechanism Failure
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Jenkins Script Security Plugin versions 1402.v94c9ce464861 et antérieures