CVE-2026-42523Jenkins GitHub Plugin 1.46.0及更早版本中存在一个存储型跨站脚本(XSS)漏洞。该漏洞源于插件在实现“GitHub hook trigger for GITScm polling”功能的验证JavaScript时,未能正确处理当前作业URL。拥有Overall/Read权限的非匿名攻击者可以利用此漏洞,在Jenkins服务器上存储恶意脚本。当其他用户访问受影响的页面时,这些恶意脚本将在其浏览器中执行,从而导致严重的安全风险。
该漏洞发生在Jenkins GitHub Plugin处理“GitHub hook trigger for GITScm polling”功能的过程中。插件在生成用于验证的JavaScript代码时,直接将当前作业的URL(Job URL)嵌入其中,而未进行充分的转义或过滤。由于作业URL通常可由具有特定权限的用户控制或间接影响,攻击者可以构造包含恶意JavaScript代码的作业名称或相关参数。当该数据被反射到页面的JavaScript上下文中时,即构成了XSS。攻击者利用Overall/Read权限即可触发该漏洞,诱导管理员或其他高权限用户访问包含恶意Payload的页面,进而窃取Session ID、执行管理员操作或在客户端执行任意代码。