PT-2020-15329 · Jenkins · Jenkins Brakeman Plugin+1
Adith Sudhakar
·
Publicado
2020-02-12
·
Atualizado
2023-10-25
·
CVE-2020-2122
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Brakeman, versões 0.12 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) armazenada. Ela ocorre porque o plugin não escapa os valores recebidos de arquivos JSON analisados ao renderizá-los. Essa vulnerabilidade pode ser explorada por usuários capazes de controlar os dados de entrada da etapa pós-compilação do Brakeman.
Recomendações
Para as versões 0.12 e anteriores do plugin Jenkins Brakeman, atualize para a versão 0.13 ou posterior para resolver o problema. Observe que a correção na versão 0.13 se aplica apenas aos dados recém-registrados após a instalação do plugin atualizado, e os dados históricos ainda podem conter valores inseguros. Como solução alternativa temporária, considere restringir o acesso aos dados de entrada da etapa pós-compilação do Brakeman para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Brakeman Plugin