CVE-2022-29044

Plugin de parâmetros de nó e rótulo do Jenkins, versões 1.10.3 e anteriores

O problema é uma vulnerabilidade de script entre sites (XSS) armazenada que ocorre porque o plugin de parâmetros de nó e rótulo do Jenkins não escapa o nome e a descrição dos parâmetros de nó e rótulo nas visualizações que exibem esses parâmetros. Essa vulnerabilidade pode ser explorada por invasores com permissão Item/Configure. A exploração requer que os parâmetros estejam listados em outra página e que essas páginas não estejam protegidas para impedir a exploração. Observa-se que o Jenkins (core) tem impedido a exploração de vulnerabilidades desse tipo em determinadas páginas desde a versão 2.44 e LTS 2.32.2.

Para as versões 1.10.3 e anteriores do plugin de parâmetros Node e Label do Jenkins, atualize para uma versão posterior à 1.10.3 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às visualizações que exibem parâmetros para minimizar o risco de exploração. Além disso, certifique-se de que todas as páginas que listam parâmetros, como as páginas “Build With Parameters” e “Parameters” fornecidas pelo Jenkins (core), estejam protegidas para impedir a exploração.