漏洞标题
N/A
漏洞描述信息
Jenkins active Choices插件版本1.5.3及更早版本允许具有任务/配置权限的用户通过“Active Choices 响应引用参数”类型提供任意HTML,以便在“基于参数的构建”页面上显示。这可以包括任意JavaScript。现在,Active Choices 只有在脚本运行在 sandbox 环境中时才会清洗在“基于参数的构建”页面上插入的HTML。由于未 sandbox 的脚本受管理员批准,因此由管理员决定是否允许或拒绝有问题脚本输出。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Jenkins Active Choices plugin version 1.5.3 and earlier allowed users with Job/Configure permission to provide arbitrary HTML to be shown on the 'Build With Parameters' page through the 'Active Choices Reactive Reference Parameter' type. This could include, for example, arbitrary JavaScript. Active Choices now sanitizes the HTML inserted on the 'Build With Parameters' page if and only if the script is executed in a sandbox. As unsandboxed scripts are subject to administrator approval, it is up to the administrator to allow or disallow problematic script output.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
CloudBees Jenkins Active Choices插件安全漏洞
漏洞描述信息
CloudBees Jenkins(前称Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Active Choices是使用在其中的一个具有主动选择功能插件。 CloudBees Jenkins Active Choices插件1.5.3及之前版本中存在HTML注入漏洞,该漏洞源于程序没有正确的过滤用户提交的输入。攻击者可利用该漏洞执行任意的HTML和脚本代码。
CVSS信息
N/A
漏洞类别
跨站脚本