CVE-2022-30969

ALT: (8.8)

CVSS6: 7.7

El connector de paràmetres d’emplenament automàtic de Jenkins és vulnerable a la falsificació de sol·licituds entre llocs, causada per una validació incorrecta de l’entrada subministrada per l’usuari. En persuadir a un usuari autenticat a visitar un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP mal formada per executar codi arbitrari sense protecció d’espai aïllat. Un atacant podria explotar aquesta vulnerabilitat per realitzar atacs de scripting entre llocs, enverinament per memòria cache web i altres activitats malicioses.

Sistemes Afectats
Jenkins Autocomplete Parameter Plugin 1.1

Remediació
Consulteu Jenkins Security Advisory 2022-05-17 per obtenir informació d’actualització o solució recomanada.

Referències

• https://www.jenkins.io/security/advisory/2022-05-17/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30969