Seqüència d’ordres en llocs creuats de Jenkins weekly i LTS
01/08/2023
CVE-2023-39151
ALT: (8)
CVSS3: 7
Jenkins weekly i LTS són vulnerables a seqüències d’ordres en llocs creuats causades per una validació incorrecta de les entrades subministrades pels usuaris. Un atacant remot autenticat podria aprofitar aquesta vulnerabilitat per injectar un script maliciós en una pàgina web, el qual seria executat al navegador de la víctima dins del context de seguretat del lloc web d’allotjament una vegada que la pàgina sigui visualitzada. L’atacant podria utilitzar aquesta vulnerabilitat per prendre les credencials d’autenticació basades en les cookies de la víctima.
Sistemes Afectats
- Jenkins weekly 2.415
- Jenkins LTS 2.401.2
Remediació
Consulteu Jenkins Security Advisory 2023-07-26 per obtenir informació sobre actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.
Referències
- https://www.jenkins.io/security/advisory/2023-07-26/
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-39151