Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2024-28149

Опубликовано: 06 мар. 2024
Источник: redhat
CVSS3: 8
EPSS Низкий

Описание

Jenkins HTML Publisher Plugin 1.16 through 1.32 (both inclusive) does not properly sanitize input, allowing attackers with Item/Configure permission to implement cross-site scripting (XSS) attacks and to determine whether a path on the Jenkins controller file system exists.

A flaw was found in jenkins-2-plugins. In the HTML Publisher Plugin 1.16 through 1.32, fallback for reports created in HTML Publisher Plugin 1.15 and earlier does not properly sanitize input. This can allow attackers with Item/Configure permissions to implement stored cross-site scripting (XSS) attacks and determine whether a path on the Jenkins controller file system exists, without being able to access it.

Отчет

HTML Publisher Plugin 1.32.1 removes support for reports created before HTML Publisher Plugin 1.15. Those reports are retained on the disk, but may no longer be accessible through the Jenkins UI.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat OpenShift Container Platform 3.11jenkins-2-pluginsOut of support scope
OCP-Tools-4.12-RHEL-8jenkinsFixedRHSA-2024:363505.06.2024
OCP-Tools-4.12-RHEL-8jenkins-2-pluginsFixedRHSA-2024:363505.06.2024
OCP-Tools-4.13-RHEL-8jenkinsFixedRHSA-2024:363605.06.2024
OCP-Tools-4.13-RHEL-8jenkins-2-pluginsFixedRHSA-2024:363605.06.2024
OCP-Tools-4.14-RHEL-8jenkinsFixedRHSA-2024:363405.06.2024
OCP-Tools-4.14-RHEL-8jenkins-2-pluginsFixedRHSA-2024:363405.06.2024
OCP-Tools-4.15-RHEL-8jenkinsFixedRHSA-2024:459717.07.2024
OCP-Tools-4.15-RHEL-8jenkins-2-pluginsFixedRHSA-2024:459717.07.2024

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important
Дефект:
CWE-20
https://bugzilla.redhat.com/show_bug.cgi?id=2268227jenkins-2-plugins: Improper input sanitization in HTML Publisher Plugin

EPSS

Процентиль: 33%
0.00133
Низкий

8 High

CVSS3

Связанные уязвимости

nvd логотип

CVE-2024-28149

CVSS3: 6.5
nvd
почти 2 года назад

Jenkins HTML Publisher Plugin 1.16 through 1.32 (both inclusive) does not properly sanitize input, allowing attackers with Item/Configure permission to implement cross-site scripting (XSS) attacks and to determine whether a path on the Jenkins controller file system exists.

github логотип

GHSA-8vcg-v7g4-3vr7

CVSS3: 8
github
почти 2 года назад

Jenkins HTML Publisher Plugin does not properly sanitize input

fstec логотип

BDU:2024-02006

CVSS3: 8
fstec
почти 2 года назад

Уязвимость плагина Jenkins HTML Publisher, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки и определять, существует ли путь к файловой системе контроллера Jenkins

EPSS

Процентиль: 33%
0.00133
Низкий

8 High

CVSS3