ASA-2019-00107 – Jenkins: Vulnerabilidade de Cross-Site Scripting (XSS) no plugin Warnings Next Generation

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00107

Identificador(es)

ASA-2019-00107, SECURITY-1271, CVE-2019-1003023

Título

Vulnerabilidade de Cross-Site Scripting (XSS) no plugin Warnings Next Generation

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Warnings Next Generation Plugin até e incluindo 1.0.1

Versão(ões) corrigida(s)

Warnings Next Generation Plugin versão 2.0.0

Prova de conceito

Desconhecida

Descrição

Warnings Next Generation Plugin não escapou adequadamente o conteúdo HTML nos avisos exibidos na UI do Jenkins, resultando em uma vulnerabilidade Cross-Site Scripting (XSS) por usuários capazes de controlar a entrada do analisador de avisos.

Detalhes técnicos

Desconhecido

Créditos

Kalle Niemitalo (Procomp Solutions Oy)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/warnings-ng

CVE-2019-1003023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003023

CVE-2019-1003023
https://nvd.nist.gov/vuln/detail/CVE-2019-1003023

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.