Jenkins ‘winstone’ 任意代码执行漏洞

漏洞信息详情

Jenkins ‘winstone’ 任意代码执行漏洞

• CNNVD编号：CNNVD-201111-437
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2011-4344
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2011-11-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-12-02
  
• 厂        商：
  
  jenkins
• 漏洞来源：

Jenkins 1.438和1.409.3之前版本中存在漏洞，该漏洞源于向winstone小程序容器中传入的某些输入被显示给用户之前没有正确过滤错误消息。攻击者可利用该漏洞注入任意HTML和脚本代码，当恶意数据被查看时，此攻击行为可在受影响站点上下文的用户浏览器会话中执行。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.cloudbees.com/jenkins-advisory/jenkins-security-advisory-2011-11-08.cb

来源: github.com

链接:https://github.com/jenkinsci/winstone/commit/410ed3001d51c689cf59085b7417466caa2ded7b.patch

来源: www.cloudbees.com

链接:http://www.cloudbees.com/jenkins-advisory/jenkins-security-advisory-2011-11-08.cb

来源: MLIST

名称: [oss-security] 20111123 Re: CVE request: jenkins

链接:http://openwall.com/lists/oss-security/2011/11/23/6

来源: MLIST

名称: [oss-security] 20111123 CVE request: jenkins

链接:http://openwall.com/lists/oss-security/2011/11/23/5

来源: MLIST

名称: [jenkinsci-advisories] 20111109 Security advisory in Jenkins Core

链接:http://groups.google.com/group/jenkinsci-advisories/msg/1b94588f90f876b5?dmode=source&output=gplain

来源:SECUNIA

名称:46911

链接:http://secunia.com/advisories/46911