PT-2021-14673 · Jenkins · Jenkins Extra Columns Plugin+1
Marc Heyries
·
Publicado
2021-03-30
·
Atualizado
2023-11-03
·
CVE-2021-21630
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Extra Columns, versões 1.22 e anteriores
Descrição
A falha resulta em uma vulnerabilidade de script entre sites (XSS) armazenada, devido ao plugin não escapar os valores dos parâmetros na coluna de parâmetros de compilação. Essa vulnerabilidade pode ser explorada por invasores com permissão de Job/Configure. Além disso, para uma visualização que contenha tal tarefa, o invasor precisa que a coluna de parâmetros de compilação esteja configurada ou que possua permissão de Visualização/Configuração.
Recomendações
Para o plugin Jenkins Extra Columns nas versões 1.22 e anteriores, atualize para a versão 1.23 ou posterior, que escapa os valores dos parâmetros na coluna de parâmetros de compilação, para resolver o problema.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Extra Columns Plugin