PT-2022-22060 · Jenkins · Jenkins Ns-Nd Integration Performance Publisher Plugin+1
Publicado
2022-06-22
·
Atualizado
2023-11-03
·
CVE-2022-34191
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins NS-ND Integration Performance Publisher, versões 4.8.0.77 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) armazenada. Ela ocorre porque o plugin não escapa o nome dos parâmetros do NetStorm Test nas visualizações que exibem esses parâmetros. Isso torna a vulnerabilidade explorável por invasores com permissão Item/Configure. A exploração requer que os parâmetros estejam listados em outra página e que essas páginas não estejam protegidas para impedir a exploração. Observa-se que o Jenkins (core) tem impedido a exploração de vulnerabilidades semelhantes em determinadas páginas desde a versão 2.44 e LTS 2.32.2.
Recomendações
Para as versões 4.8.0.77 e anteriores do plugin Jenkins NS-ND Integration Performance Publisher, atualize para uma versão que corrija a vulnerabilidade de script entre sites armazenado.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Ns-Nd Integration Performance Publisher Plugin