PT-2021-14646 · Jenkins · Jenkins

Jesse Glick

Publicado

2021-01-13

Atualizado

2024-03-06

CVE-2021-21603

CVSS v3.1

5.4

Média

Vetor

AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas

Versões 2.274 e anteriores do Jenkins

Versões LTS 2.263.1 e anteriores do Jenkins

Descrição

O problema decorre da falta de escapamento do conteúdo da resposta da barra de notificações, levando a uma vulnerabilidade de script entre sites (XSS). Essa vulnerabilidade pode ser explorada por invasores capazes de influenciar o conteúdo da barra de notificação, normalmente exibida após o envio de formulários por meio do botão “Apply”.

Recomendações

Para as versões 2.274 e anteriores do Jenkins, atualize para a versão 2.275 ou posterior.

Para as versões 2.263.1 e anteriores do Jenkins LTS, atualize para a versão 2.263.2 ou posterior.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

BIT-JENKINS-2021-21603

CVE-2021-21603

GHSA-98GQ-6HXG-52R6

RHSA-2021:0423

RHSA-2021:0429

RHSA-2021:0637

Produtos afetados

Jenkins

PT-2021-14646 · Jenkins · Jenkins

CVE-2021-21603

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 10