Уязвимость межсайтового скриптинга (XSS) в Jenkins Claim Plugin из-за некорректной обработки отображаемого имени пользователя
Описание
В Jenkins Claim Plugin отсутствует экранирование отображаемого имени пользователя, что ведет к уязвимости хранимого межсайтового скриптинга (stored XSS). Эта уязвимость может быть использована злоумышленниками, которые способны контролировать отображаемые имена пользователей в Jenkins, либо через область безопасности, либо напрямую в Jenkins.
Затронутые версии ПО
- Jenkins Claim Plugin версии 2.18.1 и более ранние
Тип уязвимости
Хранимый межсайтовый скриптинг (stored XSS)
Ссылки
- Mailing ListThird Party Advisory
- Vendor Advisory
- Mailing ListThird Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.18.1 (включая)
cpe:2.3:a:jenkins:claim:*:*:*:*:*:jenkins:*:*
EPSS
Процентиль: 36%
0.00151
Низкий
5.4 Medium
CVSS3
3.5 Low
CVSS2
Дефекты
CWE-79
Связанные уязвимости
EPSS
Процентиль: 36%
0.00151
Низкий
5.4 Medium
CVSS3
3.5 Low
CVSS2
Дефекты
CWE-79