Jenkins plugin manager 存在存储型 XSS 漏洞
时间:2023-03-13 17:18 来源:linux.it.net.cn 作者:IT
漏洞描述
Jenkins 是一款 Java 编写的集成工具。
该项目受影响版本存在存储型 XSS 漏洞。该漏洞是由于在呈现插件版本与 Jenkins plugin manager 版本不兼容的错误信息时没有进行转义。
攻击者可向 Jenkins 实例中配置的更新站点提供插件,当 Jenkins 实例加载插件时,错误信息处的 JavaScript 代码便会被浏览器执行。
漏洞名称
Jenkins plugin manager 存在存储型 XSS 漏洞
漏洞类型
跨站脚本
发现时间
2023-03-07
漏洞影响广度
广
MPS 编号
MPS-2023-7327
CVE 编号
CVE-2023-27898
CNVD 编号
-
影响范围
Jenkins plugin manager@[2.270, 2.394)
Jenkins plugin manager@[2.277.1, 2.375.4)
修复方案
将组件 Jenkins plugin manager 升级至 2.394 及以上版本
将组件 Jenkins plugin manager 升级至 2.375.4 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2023-7327
https://nvd.nist.gov/vuln/detail/CVE-2023-27898
https://github.com/jenkinsci/jenkins/commit/59ac866d9946d7c296023da0ea78baafd4cf71eb、 Commit
https://www.jenkins.io/security/advisory/2023-03-08/
(责任编辑:IT)
漏洞描述Jenkins 是一款 Java 编写的集成工具。 该项目受影响版本存在存储型 XSS 漏洞。该漏洞是由于在呈现插件版本与 Jenkins plugin manager 版本不兼容的错误信息时没有进行转义。 攻击者可向 Jenkins 实例中配置的更新站点提供插件,当 Jenkins 实例加载插件时,错误信息处的 JavaScript 代码便会被浏览器执行。
影响范围Jenkins plugin manager@[2.270, 2.394) Jenkins plugin manager@[2.277.1, 2.375.4) 修复方案将组件 Jenkins plugin manager 升级至 2.394 及以上版本 将组件 Jenkins plugin manager 升级至 2.375.4 及以上版本 参考链接https://www.oscs1024.com/hd/MPS-2023-7327 https://nvd.nist.gov/vuln/detail/CVE-2023-27898 https://github.com/jenkinsci/jenkins/commit/59ac866d9946d7c296023da0ea78baafd4cf71eb、 Commit https://www.jenkins.io/security/advisory/2023-03-08/
(责任编辑:IT) |