PT-2021-14651 · Jenkins · Jenkins
Jesse Glick
+1
·
Publicado
2021-01-13
·
Atualizado
2024-03-06
·
CVE-2021-21608
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 2.274 e anteriores do Jenkins
Versões LTS 2.263.1 e anteriores do Jenkins
Descrição
O problema decorre da falha na escapagem de rótulos de botões na interface do usuário do Jenkins, levando a uma vulnerabilidade de script entre sites (XSS). Essa vulnerabilidade pode ser explorada por invasores que tenham a capacidade de controlar os rótulos dos botões. Por exemplo, botões com rótulos controlados pelo usuário, como aqueles na etapa
input do Pipeline, podem ser usados para explorar essa vulnerabilidade.Recomendações
Para as versões 2.274 e anteriores do Jenkins, atualize para a versão 2.275 ou posterior para resolver o problema.
Para as versões 2.263.1 e anteriores do Jenkins LTS, atualize para a versão 2.263.2 ou posterior para resolver o problema.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins