PT-2022-27951 · Jenkins · Jenkins Spring Config Plugin+1
Valdes Che Zogou
+1
·
Publicado
2022-12-07
·
Atualizado
2022-12-12
·
CVE-2022-46687
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Spring Config, versões 2.0.0 e anteriores
Descrição
O problema é uma vulnerabilidade de script entre sites (XSS) armazenada. Ela ocorre porque os nomes de exibição das compilações apresentados na visualização Spring Config não são escapados, permitindo que invasores capazes de alterar esses nomes explorem essa vulnerabilidade.
Recomendações
Para o Jenkins Spring Config Plugin versões 2.0.0 e anteriores, atualize para a versão 2.0.1 ou posterior, que escapa os nomes de exibição das compilações mostrados na visualização Spring Config, resolvendo assim o problema.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Spring Config Plugin