PT-2020-15450 · Cloudbees+1 · Jenkins

Wadeck Follonier

Publicado

2020-08-12

Atualizado

2024-03-06

CVE-2020-2229

CVSS v3.1

5.4

Média

Vetor

AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas

Versões 2.251 e anteriores do Jenkins

Versões LTS 2.235.3 e anteriores do Jenkins

Descrição

O problema decorre da falta de escapamento do conteúdo da dica de ferramenta dos ícones de ajuda, levando a uma vulnerabilidade de script entre sites (XSS) armazenada. Os valores da dica de ferramenta podem ser fornecidos por plug-ins, alguns dos quais utilizam valores especificados pelo usuário.

Recomendações

Para as versões 2.251 e anteriores do Jenkins, atualize para a versão 2.252 ou posterior.

Para as versões 2.235.3 e anteriores do Jenkins LTS, atualize para a versão 2.235.4 ou posterior.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

BIT-JENKINS-2020-2229

CVE-2020-2229

GHSA-HVMC-7G2X-R3P9

RHSA-2020:3808

RHSA-2020:3841

RHSA-2020:4223

Produtos afetados

Jenkins

PT-2020-15450 · Cloudbees+1 · Jenkins

CVE-2020-2229

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 10