CVE-2023-43495

ALT: (8)

CVSS3: 7,6

Jenkins weekly i LTS són vulnerables a seqüències d’ordres en llocs creuats. Aquestes vindrien causades per una validació incorrecta de l’entrada proporcionada per l’usuari al paràmetre constructor de llegenda d’ExpandableDetailsNote. Un atacant autenticat remot podria aprofitar aquesta vulnerabilitat per injectar codi maliciós en una pàgina web que s’executaria al navegador web d’una víctima dins el context de seguretat del lloc web d’allotjament, un cop la pàgina és visualitzada. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.

Sistemes Afectats

• Jenkins weekly 2.423
• Jenkins LTS 2.414.1

Remediació
Consulteu Jenkins Security Advisory amb data 20-09-2023 per obtenir informació sobre actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://www.jenkins.io/security/advisory/2023-09-20/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-43495