CVE-2017-1000386 in Active Choices Plugin
Résumé
par VulDB • 13/06/2026
Le plugin Active Choices de Jenkins, versions 1.5.3 et antérieures, permettait aux utilisateurs disposant des autorisations Job/Configure (Configuration) d’insérer du HTML arbitraire affiché sur la page « Build With Parameters » via le type « Active Choices Reactive Reference Parameter ». Cela pouvait inclure, par exemple, du JavaScript arbitraire. Désormais, Active Choices nettoie (sanitize) le HTML inséré sur la page « Build With Parameters » uniquement si le script s’exécute dans un bac à sable (sandbox). Étant donné que les scripts non isolés dans une sandbox sont soumis à l’approbation de l’administrateur, il incombe à ce dernier d’autoriser ou d’interdire les sorties potentiellement problématiques des scripts.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.