Seqüència d’ordres en llocs creuats de Jenkins Folders Shortcut Job

ALERTES

25/08/2023

CVE-2023-40346

ALT: (8)

CVSS3: 7,6

El plugin Jenkins Shortcut Job és vulnerable a l’ús de scripts entre llocs, causat per una validació inadequada de l’entrada subministrada per l’usuari a la URL de redirecció de la drecera. Un atacant remot autenticat podria aprofitar aquesta vulnerabilitat per injectar un script maliciós a una pàgina web que s’executaria al navegador web de la víctima dins el context de seguretat del lloc web d’allotjament, un cop es visualitza la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en cookies de la víctima.

Sistemes Afectats

  • Jenkins Shortcut Job Plugin 0.4

Remediació
Consulteu Jenkins Security Advisory 2023-08-16 per obtenir informació sobre actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.