漏洞描述Jenkins 是一款 Java 编写的集成工具。 该项目受影响版本存在存储型 XSS 漏洞。该漏洞是由于在呈现插件版本与 Jenkins plugin manager 版本不兼容的错误信息时没有进行转义。 攻击者可向 Jenkins 实例中配置的更新站点提供插件,当 Jenkins 实例加载插件时,错误信息处的 JavaScript 代码便会被浏览器执行。
影响范围Jenkins plugin manager@[2.270, 2.394) Jenkins plugin manager@[2.277.1, 2.375.4) 修复方案将组件 Jenkins plugin manager 升级至 2.394 及以上版本 将组件 Jenkins plugin manager 升级至 2.375.4 及以上版本 参考链接https://www.oscs1024.com/hd/MPS-2023-7327 https://nvd.nist.gov/vuln/detail/CVE-2023-27898 https://github.com/jenkinsci/jenkins/commit/59ac866d9946d7c296023da0ea78baafd4cf71eb、 Commit https://www.jenkins.io/security/advisory/2023-03-08/
(责任编辑:IT) |