CVE-2023-43499

ALT: (8)

CVSS3: 7,6

El plugin Jenkins Build Failure Analyzer és vulnerable a seqüències d’ordres en llocs creuats. Aquestes vindrien causades per la validació inadequada de l’entrada proporcionada per l’usuari pels noms de Causa d’Error als registres de construcció. Un atacant remot autenticat podria aprofitar aquesta vulnerabilitat per injectar codi maliciós en una pàgina web que s’executaria al navegador de la víctima dins del context de seguretat del lloc web d’allotjament un cop s’hagués visualitzat la pàgina. Un atacant podria usar aquesta vulnerabilitat per perpetrar un furt de les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• Jenkins Build Failure Analyzer Plugin 2.4.1

Remediació
Consulteu Jenkins Security Advisory amb data 20-09-2023 per obtenir informació sobre actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://www.jenkins.io/security/advisory/2023-09-20/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-43499