PT-2021-14654 · Jenkins · Jenkins
Jesse Glick
+1
·
Publicado
2021-01-13
·
Atualizado
2024-03-06
·
CVE-2021-21611
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 2.274 e anteriores do Jenkins; versões LTS 2.263.1 e anteriores
Descrição
O problema resulta em uma vulnerabilidade de cross-site scripting (XSS) armazenada, que pode ser explorada por invasores capazes de especificar nomes de exibição ou IDs de tipos de itens exibidos na página Novo Item. Isso ocorre porque os nomes de exibição e os IDs dos tipos de itens não são escapados adequadamente. Até o momento da publicação deste aviso, a equipe de segurança do Jenkins não tem conhecimento de nenhum plugin publicado através do centro de atualizações do projeto Jenkins que permita fazer isso.
Recomendações
Para as versões 2.274 e anteriores do Jenkins, atualize para a versão 2.275 ou posterior.
Para as versões LTS 2.263.1 e anteriores, atualize para a versão 2.263.2 ou posterior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins