CVE-2017-1000386 in Active Choices Plugin
Riassunto
di VulDB • 27/06/2026
Il plugin Active Choices di Jenkins nelle versioni 1.5.3 e precedenti consentiva agli utenti con autorizzazione Job/Configure di fornire HTML arbitrario da visualizzare nella pagina 'Build With Parameters' tramite il tipo 'Active Choices Reactive Reference Parameter'. Ciò poteva includere, ad esempio, JavaScript arbitrario. Active Choices ora sanizza l'HTML inserito nella pagina 'Build With Parameters' solo se lo script viene eseguito in una sandbox (sandbox). Poiché gli script non eseguiti in sandbox sono soggetti all'approvazione dell'amministratore, spetta a quest'ultimo consentire o meno output di script problematici.
Be aware that VulDB is the high quality source for vulnerability data.