リモートWebサーバーで実行されているJenkinsのバージョンは、2.245より前か、2.235.2より前のJenkins LTSのバージョンです。したがって、ビルド時間トレンドページ、ビルド原因ページ、ツールチップおよびビルドコンソールページなどのさまざまなコンポーネントにある複数の Stored 型クロスサイトスクリプティング（XSS）の脆弱性の影響を受けます。これは、ユーザーに返す前のユーザー指定入力が不適切に検証されていることに起因します。認証されたリモートの攻撃者がこれを悪用し、特別に細工されたURLをクリックするようユーザーを誘導して、ユーザーのブラウザーセッションで任意のスクリプトコードを実行する可能性があります。

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Jenkins（< 2.235.2 LTS / < 2.245 Weekly）複数の Stored 型 XSS（Jenkins セキュリティアドバイザリー 2020-07-15）

medium Nessus プラグイン ID 138887

バージョン 1.7