CVE-2022-43409

Jenkins Pipeline: Supporting APIs Plugin, versões 838.va 3a 087b 4055b e anteriores

O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) armazenada. Ela ocorre porque o plugin Jenkins Pipeline: Supporting APIs não sanitiza ou codifica adequadamente as URLs de hiperlinks que enviam solicitações POST nos logs de compilação. Essa vulnerabilidade pode ser explorada por invasores com capacidade de criar Pipelines. O plugin oferece recursos para adicionar hiperlinks aos logs de compilação, que são usados por outros plugins para permitir que os usuários interajam com as compilações. No entanto, a falha em codificar adequadamente essas URLs resulta na vulnerabilidade.

Para as versões 838.va 3a 087b 4055b e anteriores, atualize para a versão 839.v35e2736cfd5c ou posterior, que codifica corretamente as URLs dos hiperlinks nos logs de compilação. Como solução alternativa temporária, considere restringir a capacidade de criar Pipelines a usuários confiáveis até que a atualização possa ser aplicada.