PT-2022-18294 · Jenkins · Jenkins Global-Build-Stats Plugin+1
S0Nnguy3N
+1
·
Publicado
2022-03-15
·
Atualizado
2023-11-15
·
CVE-2022-27207
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins global-build-stats, versões 1.5 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) armazenada. Ela ocorre porque vários campos na configuração do gráfico na página “Global Build Stats” não são escapados adequadamente. Essa vulnerabilidade pode ser explorada por invasores que possuam permissão de nível geral/administrador.
Recomendações
Para o plugin Jenkins global-build-stats versões 1.5 e anteriores, atualize para uma versão posterior à 1.5 para resolver o problema. Como solução temporária, considere restringir o acesso à página “Global Build Stats” para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Global-Build-Stats Plugin