GHSA-x22x-5pp9-8v7f

Опубликовано: 24 янв. 2024

Источник: github

Github: Прошло ревью

CVSS3: 8

Описание

Content-Security-Policy disabled by Red Hat Dependency Analytics Jenkins Plugin

Jenkins sets the Content-Security-Policy header to static files served by Jenkins (specifically DirectoryBrowserSupport), such as workspaces, /userContent, or archived artifacts, unless a Resource Root URL is specified.

Red Hat Dependency Analytics Plugin 0.7.1 and earlier globally disables the Content-Security-Policy header for static files served by Jenkins whenever the 'Invoke Red Hat Dependency Analytics (RHDA)' build step is executed. This allows cross-site scripting (XSS) attacks by users with the ability to control files in workspaces, archived artifacts, etc.

Ссылки

Пакеты

Наименование

io.jenkins.plugins:redhat-dependency-analytics

maven

Затронутые версииВерсия исправления

< 0.9.0

0.9.0

EPSS

Процентиль: 62%

0.00432

Низкий

8 High

CVSS3

CVE ID

CVE-2024-23905

Дефекты

CWE-79

Связанные уязвимости

CVE-2024-23905

CVSS3: 5.4

nvd

больше 1 года назад

Jenkins Red Hat Dependency Analytics Plugin 0.7.1 and earlier programmatically disables Content-Security-Policy protection for user-generated content in workspaces, archived artifacts, etc. that Jenkins offers for download.

BDU:2024-02891

CVSS3: 5.4

fstec

больше 1 года назад

Уязвимость плагина Jenkins Red Hat Dependency Analytics, связанная с неправильной нейтрализация ввода во время создания веб-страницы, позволяющая нарушителю осуществлять атаки с использованием межсайтовых сценариев (XSS) с возможностью управления файлами в рабочих областях

ROS-20240411-08

CVSS3: 8.8

redos

около 1 года назад

Множественные уязвимости jenkins

EPSS

Процентиль: 62%

0.00432

Низкий

8 High

CVSS3

CVE ID

CVE-2024-23905

Дефекты

CWE-79