PT-2024-2109 · Jenkins · Jenkins Html Publisher Plugin+1
Kevin Guerroudj
·
Publicado
2024-03-06
·
Atualizado
2025-05-06
·
CVE-2024-28150
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Plugin Jenkins HTML Publisher, versões 1.32 e anteriores
Descrição
A vulnerabilidade existe devido à falta de proteção da estrutura da página da web. Isso pode ser explorado por um invasor remoto para realizar ataques de cross-site scripting. A vulnerabilidade é um problema de cross-site scripting (XSS) armazenado, que pode ser explorado por invasores com permissão Item/Configure. Os
nomes de tarefas, nomes de relatórios e títulos da página de índice não são escapados, levando a essa vulnerabilidade.Recomendações
Para o plugin Jenkins HTML Publisher versões 1.32 e anteriores, atualize para uma versão que corrija este problema.
Como solução alternativa temporária, considere restringir o acesso ao quadro de relatórios e garantir que apenas usuários confiáveis tenham permissão Item/Configure.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Html Publisher Plugin