PT-2022-4023 · Jenkins · Jenkins Lucene-Search Plugin+1
Publicado
2022-07-27
·
Atualizado
2023-11-02
·
CVE-2022-36922
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Lucene-Search, versões 370.v62a5f618cd3a e anteriores
Descrição
A vulnerabilidade existe devido à falta de proteção na estrutura da página web. A exploração dessa vulnerabilidade pode permitir que um invasor remoto realize um ataque de script entre sites (XSS). A vulnerabilidade é causada pela falha em escapar o parâmetro de consulta de pesquisa exibido na página de resultados de “pesquisa”, resultando em uma vulnerabilidade de script entre sites (XSS) refletida.
Recomendações
Para as versões 370.v62a5f618cd3a e anteriores do plugin Jenkins Lucene-Search, atualize para uma versão que escape adequadamente o parâmetro de consulta de pesquisa para evitar ataques XSS. Como solução temporária, considere restringir o acesso à página de resultados de pesquisa até que um patch esteja disponível. Evite usar o
parâmetro de consulta de pesquisa na página afetada até que o problema seja resolvido.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Lucene-Search Plugin