Phu X. Mai

**Nome do software vulnerável e versões afetadas** Versões 2.227 e anteriores do Jenkins Versões LTS 2.204.5 e anteriores do Jenkins **Descrição** O problema está relacionado à ausência de cabeçalhos HTTP Content-Security-Policy para arquivos enviados como parâmetros de arquivo para uma compilação. Isso resulta em uma vulnerabilidade de cross-site scripting (XSS) armazenada, que pode ser explorada por usuários com permissões para construir um trabalho com parâmetros de arquivo, permitindo que invasores remotos realizem ataques de cross-site scripting. **Recomendações** Para as versões 2.227 e anteriores do Jenkins, atualize para uma versão que defina cabeçalhos HTTP Content-Security-Policy ao servir arquivos enviados por meio de um parâmetro de arquivo. Para as versões LTS do Jenkins 2.204.5 e anteriores, atualize para uma versão que defina cabeçalhos HTTP Content-Security-Policy ao servir arquivos enviados por meio de um parâmetro de arquivo. Como solução alternativa temporária, considere definir a propriedade do sistema `hudson.model.DirectoryBrowserSupport.CSP` para substituir o valor dos cabeçalhos Content-Security-Policy enviados ao servir esses arquivos.