PT-2022-22055 · Jenkins · Jenkins Filesystem List Parameter Plugin+1
Daniel Beck
+2
·
Publicado
2022-06-22
·
Atualizado
2023-11-03
·
CVE-2022-34187
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Filesystem List Parameter, versões 0.0.7 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) armazenada. Ela ocorre porque o plugin não escapa o nome e a descrição dos parâmetros da lista de objetos do sistema de arquivos nas visualizações que exibem parâmetros. Essa vulnerabilidade pode ser explorada por invasores com permissão Item/Configurar. A exploração requer que os parâmetros estejam listados em outra página e que essas páginas não estejam protegidas para impedir a exploração.
Recomendações
Para as versões 0.0.7 e anteriores do plugin Jenkins Filesystem List Parameter, considere atualizar para uma versão que corrija este problema, já que não há solução alternativa específica para essas versões.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Filesystem List Parameter Plugin