Jesper Den Boer

**Name of the Vulnerable Software and Affected Versions** billboard.js versions prior to 3.18.0 **Description** billboard.js versions before 3.18.0 are susceptible to malicious JavaScript execution. This occurs because of inadequate sanitization when binding chart options. The issue allows an attacker to inject and run malicious code within the application using billboard.js. **Recommendations** Update billboard.js to version 3.18.0 or later.

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** O problema decorre do fato de os métodos `stripImages` e `stripIframes` não processarem corretamente as entradas, o que leva a vetores de XSS. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** O problema está relacionado ao tratamento inadequado de entradas, o que poderia levar a um vetor de cross-site scripting (XSS). Especificamente, isso diz respeito ao método `StringHelper::truncate`. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Extensões wrapper (versões afetadas não especificadas) **Descrição** O problema decorre de uma validação inadequada de entradas nas extensões wrapper, levando a vetores de Cross-Site Scripting (XSS). O XSS é um tipo de vulnerabilidade de segurança que permite que um invasor injete scripts maliciosos em um site, podendo roubar dados do usuário ou assumir o controle da sessão do usuário. Nesse caso, a falta de filtragem adequada de conteúdo em vários componentes das extensões wrapper torna-as suscetíveis a vulnerabilidades XSS. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Componente Custom Fields (versões afetadas não especificadas) **Descrição** O problema está relacionado ao fato de o componente Custom Fields não filtrar corretamente as entradas, o que leva a um vetor de cross-site scripting (XSS). Isso significa que um invasor poderia injetar scripts maliciosos no componente, afetando a segurança do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** O problema está relacionado ao layout do campo de lista fancyselect, que não escapa corretamente as entradas. Isso leva a um vetor de auto-XSS, permitindo uma possível exploração. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Jenkins Lockable Resources Plugin versions 2.4 and earlier **Description** The issue allows attackers to inject arbitrary JavaScript code in web pages rendered by the plugin due to a cross-site scripting vulnerability. This can be exploited by attackers who can control resource names, potentially allowing a remote attacker to inject arbitrary JavaScript code into web pages displayed by the plugin. **Recommendations** For Jenkins Lockable Resources Plugin versions 2.4 and earlier, consider updating to a version later than 2.4 to resolve the issue. As a temporary workaround, consider restricting access to the plugin's functionality to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Jenkins versions 2.115 and older Jenkins LTS versions 2.107.1 and older **Description** A cross-site scripting issue exists in confirmationList.jelly and stopButton.jelly, allowing attackers with Job/Configure and/or Job/Create permission to create an item name containing JavaScript. This JavaScript would be executed in another user's browser when that other user performs certain UI actions. **Recommendations** For Jenkins versions 2.115 and older, update to a version newer than 2.115 to resolve the issue. For Jenkins LTS versions 2.107.1 and older, update to a version newer than 2.107.1 to resolve the issue.