当前位置: > Linux安全 >

Jenkins plugin manager 存在存储型 XSS 漏洞

时间:2023-03-13 17:18来源:linux.it.net.cn 作者:IT

漏洞描述

Jenkins 是一款 Java 编写的集成工具。

该项目受影响版本存在存储型 XSS 漏洞。该漏洞是由于在呈现插件版本与 Jenkins plugin manager 版本不兼容的错误信息时没有进行转义。

攻击者可向 Jenkins 实例中配置的更新站点提供插件,当 Jenkins 实例加载插件时,错误信息处的 JavaScript 代码便会被浏览器执行。

漏洞名称 Jenkins plugin manager 存在存储型 XSS 漏洞
漏洞类型 跨站脚本
发现时间 2023-03-07
漏洞影响广度 广
MPS 编号 MPS-2023-7327
CVE 编号 CVE-2023-27898
CNVD 编号 -

影响范围

Jenkins plugin manager@[2.270, 2.394)

Jenkins plugin manager@[2.277.1, 2.375.4)

修复方案

将组件 Jenkins plugin manager 升级至 2.394 及以上版本

将组件 Jenkins plugin manager 升级至 2.375.4 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-7327

https://nvd.nist.gov/vuln/detail/CVE-2023-27898

https://github.com/jenkinsci/jenkins/commit/59ac866d9946d7c296023da0ea78baafd4cf71eb、 Commit

https://www.jenkins.io/security/advisory/2023-03-08/

    




(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容