PT-2022-22054 · Jenkins · Jenkins Dynamic Extended Choice Parameter Plugin+1
Publicado
2022-06-22
·
Atualizado
2023-11-03
·
CVE-2022-34186
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Dynamic Extended Choice Parameter, versões 1.0.1 e anteriores
Descrição
O problema é uma vulnerabilidade de script entre sites (XSS) armazenada que ocorre porque o plugin não escapa o nome e a descrição dos parâmetros Modified Extended Choice nas visualizações que exibem parâmetros. Essa vulnerabilidade pode ser explorada por invasores com permissão Item/Configure. A exploração requer que os parâmetros estejam listados em outra página e que essas páginas não estejam protegidas para impedir a exploração. Observa-se que o Jenkins (core) tem impedido a exploração de vulnerabilidades desse tipo em determinadas páginas desde a versão 2.44 e LTS 2.32.2.
Recomendações
Para as versões 1.0.1 e anteriores do plugin Jenkins Dynamic Extended Choice Parameter, atualize para uma versão que corrija este problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Dynamic Extended Choice Parameter Plugin