O projeto Jenkins publicou um novo advisory com correções para sete vulnerabilidades em plugins, incluindo falhas de alta severidade que podem abrir caminho para gravação indevida de arquivos e ataques de stored XSS contra administradores.
O pacote de correções atinge componentes amplamente usados em ambientes de CI/CD.
A falha mais grave é a CVE-2026-42520, no Credentials Binding Plugin. Segundo o advisory, versões vulneráveis não tratavam corretamente certos tipos de credencial, permitindo que usuários com baixo privilégio em cenários específicos gravassem arquivos em locais arbitrários do nó interno do Jenkins. Isso pode levar a persistência e até execução de código.
O Jenkins também corrigiu duas falhas de stored XSS de alta severidade. A CVE-2026-42523 afeta o GitHub Plugin, enquanto a CVE-2026-42524 impacta o HTML Publisher Plugin. Nos dois casos, atacantes com permissões limitadas poderiam injetar JavaScript malicioso para atingir administradores que visualizassem páginas ou relatórios afetados.
Além disso, o advisory lista quatro problemas de severidade média. Eles atingem os plugins Script Security, Matrix Authorization Strategy, GitHub Branch Source e Microsoft Entra ID, cobrindo desde enumeração indevida de informações até desserialização insegura e open redirect.
A orientação do projeto é aplicar imediatamente as versões atualizadas dos plugins afetados.
Como camada adicional de proteção, o advisory destaca o uso de Content Security Policy nas versões Jenkins LTS 2.541.1 ou superiores para reduzir a exposição a ataques de XSS enquanto a atualização é concluída.
