PT-2020-15451 · Jenkins · Jenkins

Pierre Beitz

·

Publicado

2020-08-12

·

Atualizado

2024-03-06

·

CVE-2020-2230

CVSS v3.1

8.0

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 2.251 e anteriores do Jenkins
Versões LTS 2.235.3 e anteriores do Jenkins
Descrição
O problema resulta em uma vulnerabilidade de script entre sites (XSS) armazenada. Isso ocorre porque a descrição da estratégia de nomenclatura do projeto não é escapada adequadamente, permitindo que usuários com permissão “Geral/Gerenciar” a explorem. A vulnerabilidade pode ser explorada quando a descrição é exibida durante a criação de um item.
Recomendações
Para as versões 2.251 e anteriores do Jenkins, atualize para a versão 2.252 ou posterior para resolver o problema.
Para as versões 2.235.3 e anteriores do Jenkins LTS, atualize para a versão 2.235.4 ou posterior para resolver o problema.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

BIT-JENKINS-2020-2230
CVE-2020-2230
GHSA-9G4M-FFX6-C29G
RHSA-2020:3808
RHSA-2020:3841
RHSA-2020:4223

Produtos afetados

Jenkins