Lotfi Yahi

**Nome do Software Vulnerável e Versões Afetadas** Plugin Jenkins Extensible Choice Parameter versões 239.v5f5c278708cf e anteriores **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no Plugin Jenkins Extensible Choice Parameter. Isso permite que atacantes executem código Groovy em sandbox. **Recomendações** Atualize o Plugin Jenkins Extensible Choice Parameter para uma versão posterior à 239.v5f5c278708cf.

**Nome do Software Vulnerável e Versões Afetadas** Jenkins AnchorChain Plugin versão 1.0 **Descrição** A falha permite que atacantes explorem uma vulnerabilidade de cross-site scripting (XSS) armazenado ao controlar o arquivo de entrada para a etapa de pós-build do Anchor Chain. Isso se deve ao fato de o plugin não limitar os esquemas de URL para os links que cria com base no conteúdo do workspace, permitindo o esquema `javascript:`. **Recomendações** Para o Jenkins AnchorChain Plugin versão 1.0, considere desativar a etapa de pós-build do Anchor Chain até que um patch esteja disponível para prevenir a exploração da vulnerabilidade de XSS armazenado. Restrinja o acesso ao conteúdo do workspace para minimizar o risco de atacantes controlarem o arquivo de entrada.