PT-2020-15389 · Usemango+1 · Usemango Runner Plugin+1
Wadeck Follonier
·
Publicado
2020-04-07
·
Atualizado
2023-11-02
·
CVE-2020-2176
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin useMango Runner, versões 1.4 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de script entre sites (XSS). Vários pontos de validação de formulários no plugin useMango Runner não escapam os valores recebidos do serviço useMango, tornando-os passíveis de exploração por usuários que possam controlar os valores retornados pelo serviço useMango.
Recomendações
Para as versões 1.4 e anteriores do useMango Runner Plugin, atualize para a versão 1.5 ou posterior, que escapa todos os valores recebidos do serviço useMango nas mensagens de validação de formulários. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade de validação de formulários para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Usemango Runner Plugin