Vulnerabilidad en el mensaje anotación en tooltips en archivos de reportes en Jenkins FindBugs Plugin (CVE-2020-2317)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/11/2020
Última modificación:
02/11/2023
Descripción
Jenkins FindBugs Plugin versiones 5.0.0 y anteriores, no escapa el mensaje de anotación en tooltips, resultando en una vulnerabilidad tipo cross-site scripting (XSS) almacenado, explotable por atacantes capaces de proporcionar archivos de reportes hacia el paso de compilación posterior del Jenkins FindBugs Plugin
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:jenkins:findbugs:*:*:*:*:*:jenkins:*:* | 5.0.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página