CVE-2023-28676

ALT: (8,8)

CVSS3: 7,7

El plugin Jenkins Convert To Pipeline és vulnerable a la falsificació d’ordres en llocs creuat causada per la validació incorrecta de l’entrada subministrada per l’usuari. En persuadir a un usuari autenticat perquè visiti un lloc web maliciós un atacant remot podria enviar una sol·licitud HTTP mal formada per crear un Pipeline basat en un projecte Freestyle. Un atacant podria explotar aquesta vulnerabilitat per realitzar atacs de seqüència d’ordres en llocs creuats, enverinament de la cache Web i altres activitats malicioses.

Sistemes Afectats

• Jenkins Convert To Pipeline Plugin 1.0

Remediació
Consulteu l’avís de seguretat del 21-02-2023 de Jenkins per obtenir informació sobre actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://www.jenkins.io/security/advisory/2023-03-21/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28676