CVE-2022-29046

Опубликовано: 12 апр. 2022

Источник: nvd

CVSS3: 5.4

CVSS2: 3.5

EPSS Средний

Уязвимость хранимого межсайтового скриптинга (XSS) в плагине Jenkins Subversion через некорректное экранирование параметров на представлениях

Описание

В плагине Jenkins Subversion отсутствует экранирование имени и описания параметров List Subversion tags (and more) на представлениях, отображающих параметры. Это приводит к уязвимости хранимого межсайтового скриптинга (XSS), которой могут воспользоваться злоумышленники с правами Item/Configure.

Затронутые версии ПО

Jenkins Subversion Plugin версии 2.15.3 и более ранние

Тип уязвимости

Хранимый межсайтовый скриптинг (XSS)

Ссылки

http://seclists.org/fulldisclosure/2022/Jul/18
Mailing List
Third Party Advisory
https://support.apple.com/kb/HT213345
Third Party Advisory
https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617
Vendor Advisory
http://seclists.org/fulldisclosure/2022/Jul/18
Mailing List
Third Party Advisory
https://support.apple.com/kb/HT213345
Third Party Advisory
https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:jenkins:subversion:*:*:*:*:*:jenkins:*:*

Версия до 2.15.3 (включая)

Конфигурация 2

cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*

Версия от 12.0 (включая) до 12.5 (исключая)

EPSS

Процентиль: 95%

0.2

Средний

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79

Связанные уязвимости

CVE-2022-29046

CVSS3: 5.4

redhat

почти 4 года назад

Jenkins Subversion Plugin 2.15.3 and earlier does not escape the name and description of List Subversion tags (and more) parameters on views displaying parameters, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.

GHSA-wpr6-qvcq-8269

CVSS3: 5.4

github

почти 4 года назад

Stored Cross-site Scripting vulnerability in Jenkins Subversion Plugin

EPSS

Процентиль: 95%

0.2

Средний

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79