Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-5j46-5hwq-gwh7

Опубликовано: 20 сент. 2023
Источник: github
Github: Прошло ревью
CVSS3: 8

Описание

Jenkins Cross-site Scripting vulnerability

ExpandableDetailsNote allows annotating build log content with additional information that can be revealed when interacted with.

Jenkins 2.423 and earlier, LTS 2.414.1 and earlier does not escape the value of the caption constructor parameter of ExpandableDetailsNote.

This results in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to provide caption parameter values.

As of publication, the related API is not used within Jenkins (core), and the Jenkins security team is not aware of any affected plugins. Jenkins 2.424, LTS 2.414.2 escapes caption constructor parameter values.

Ссылки

Пакеты

Наименование

org.jenkins-ci.main:jenkins-core

maven
Затронутые версииВерсия исправления

>= 2.50, < 2.414.2

2.414.2

Наименование

org.jenkins-ci.main:jenkins-core

maven
Затронутые версииВерсия исправления

>= 2.415, < 2.424

2.424

EPSS

Процентиль: 81%
0.01536
Низкий

8 High

CVSS3

CVE ID

CVE-2023-43495

Дефекты

CWE-79

Связанные уязвимости

redhat логотип

CVE-2023-43495

CVSS3: 5.4
redhat
около 2 лет назад

Jenkins 2.423 and earlier, LTS 2.414.1 and earlier does not escape the value of the 'caption' constructor parameter of 'ExpandableDetailsNote', resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to control this parameter.

nvd логотип

CVE-2023-43495

CVSS3: 5.4
nvd
около 2 лет назад

Jenkins 2.423 and earlier, LTS 2.414.1 and earlier does not escape the value of the 'caption' constructor parameter of 'ExpandableDetailsNote', resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to control this parameter.

debian логотип

CVE-2023-43495

CVSS3: 5.4
debian
около 2 лет назад

Jenkins 2.423 and earlier, LTS 2.414.1 and earlier does not escape the ...

fstec логотип

BDU:2024-02900

CVSS3: 5.4
fstec
около 2 лет назад

Уязвимость сервера автоматизации Jenkins, связанная с неправильной нейтрализация ввода во время создания веб-страницы, позволяющая нарушителю осуществлять атаки с использованием межсайтовых сценариев (XSS) с возможностью управления файлами в рабочих областях

redos логотип

ROS-20240411-08

CVSS3: 8.8
redos
больше 1 года назад

Множественные уязвимости jenkins

EPSS

Процентиль: 81%
0.01536
Низкий

8 High

CVSS3

CVE ID

CVE-2023-43495

Дефекты

CWE-79