CVE-2026-42523
Descripción de la Vulnerabilidad
La vulnerabilidad CVE-2026-42523 se presenta en el plugin "GitHub hook trigger for GITScm polling" del Jenkins GitHub Plugin, afectando versiones anteriores a 1.46.0. Este problema surge porque el plugin no procesa correctamente la URL actual de un job como parte del código JavaScript que valida la funcionalidad de los hooks de GitHub. Esto permite a atacantes no anónimos con permisos de "Overall/Read" realizar ataques de cross-site scripting (XSS) almacenados, aprovechando una falla en la validación de entradas de usuario.Sistemas Afectados
La vulnerabilidad afecta el Jenkins GitHub Plugin versión 1.46.0 y versiones anteriores. Es particularmente crítica para entornos que utilizan Jenkins como herramienta de gestión de CI/CD, donde la integración con GitHub es común. Los sistemas no actualizados al plugin 1.47.0 o posterior están expuestos a este riesgo.Impacto y Explotabilidad
El impacto de esta vulnerabilidad es crítico debido a su calificación CVSS de 9/10 (CRITICAL). Los atacantes pueden explotar la vulnerabilidad para inyectar código malicioso en las páginas web que interactúan con el plugin, permitiendo: - Robo de sesiones: Si los usuarios están autenticados, se podrían robar credenciales. - Sesiones hijas: Atacantes pueden tomar control de cuentas vulnerables. - Exfiltración de datos: Información sensible almacenada en el sistema podría ser extraída. La explotabilidad es relativamente alta debido a que los atacantes no necesitan credenciales válidas para aprovechar la vulnerabilidad, ya que depende de la manipulación de parámetros URL.Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
La vulnerabilidad no ha sido asociada a IOCs específicos en fuentes públicas conocidas, como hashes, IPs o dominios relacionados con el ataque. Los ataques podrían ser difíciles de detectar sin un análisis profundo de las solicitudes y respuestas del plugin.