exploitDog

CVE-2023-28669

Опубликовано: 02 апр. 2023

Источник: nvd

CVSS3: 5.4

EPSS Низкий

Описание

Jenkins JaCoCo Plugin 3.3.2 and earlier does not escape class and method names shown on the UI, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to control input files for the 'Record JaCoCo coverage report' post-build action.

Ссылки

https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-3061
Vendor Advisory
https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-3061
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:jenkins:jacoco:*:*:*:*:*:jenkins:*:*

Версия до 3.3.2 (включая)

EPSS

Процентиль: 88%

0.03636

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-79

CWE-79

Связанные уязвимости

GHSA-xj29-gfww-j67g

CVSS3: 8

github

почти 3 года назад

Jenkins JaCoCo Plugin vulnerable to Stored Cross-site Scripting

EPSS

Процентиль: 88%

0.03636

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-79

CWE-79