JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-017338 Jenkins Email Extension Plugin 1933.v45cec755423fおよびそれ以前のバージョンでは、メールコンテンツに`data-inline`属性を設定することで画像を`base64`としてインライン化できます。しかし、インライン化可能な画像のURLに制限がなく、攻撃者がメールコンテンツを制御できる場合には、`file:` URLを画像に指定してJenkinsコントローラーのファイルシステムから任意のファイルを読み取ることが可能です。 cpe:/a:jenkins:email_extension https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-017338.html Common Vulnerabilities and Exposures (CVE) CVE-2026-48920 https://www.cve.org/CVERecord?id=CVE-2026-48920 National Vulnerability Database (NVD) CVE-2026-48920 https://nvd.nist.gov/vuln/detail/CVE-2026-48920 JVNDB CWE-73 https://cwe.mitre.org/data/definitions/73.html Jenkins Security Advisory Jenkins Security Advisory 2026-05-27 https://www.jenkins.io/security/advisory/2026-05-27/#SECURITY-3705 2026-06-03T15:34:31+09:00 2026-06-03T15:34:31+09:00