CVE-2017-1000386 in Active Choices Plugininformation

Résumé

par VulDB • 13/06/2026

Le plugin Active Choices de Jenkins, versions 1.5.3 et antérieures, permettait aux utilisateurs disposant des autorisations Job/Configure (Configuration) d’insérer du HTML arbitraire affiché sur la page « Build With Parameters » via le type « Active Choices Reactive Reference Parameter ». Cela pouvait inclure, par exemple, du JavaScript arbitraire. Désormais, Active Choices nettoie (sanitize) le HTML inséré sur la page « Build With Parameters » uniquement si le script s’exécute dans un bac à sable (sandbox). Étant donné que les scripts non isolés dans une sandbox sont soumis à l’approbation de l’administrateur, il incombe à ce dernier d’autoriser ou d’interdire les sorties potentiellement problématiques des scripts.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Réserver

29/11/2017

Divulgation

25/01/2018

Modérer

accepté

Entrée

VDB-112455

CPE

prêt

EPSS

0.00811

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!