{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-1471 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1471.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-1471 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1471"
      },
      {
        "category": "external",
        "summary": "Jenkins Security Advisory 2023-06-14  vom 2023-06-14",
        "url": "https://www.jenkins.io/security/advisory/2023-06-14/"
      }
    ],
    "source_lang": "en-US",
    "title": "Jenkins Core und Jenkins Plugins: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-06-14T22:00:00.000+00:00",
      "generator": {
        "date": "2024-02-15T17:31:24.138+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.0"
        }
      },
      "id": "WID-SEC-W-2023-1471",
      "initial_release_date": "2023-06-14T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-06-14T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "Jenkins Jenkins Plugins",
                "product": {
                  "name": "Jenkins Jenkins Plugins",
                  "product_id": "T013614",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:cloudbees:jenkins:plugins"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Jenkins Jenkins weekly \u003c 2.400",
                "product": {
                  "name": "Jenkins Jenkins weekly \u003c 2.400",
                  "product_id": "T028134",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:cloudbees:jenkins:weekly__2.400"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Jenkins Jenkins LTS \u003c 2.401.1",
                "product": {
                  "name": "Jenkins Jenkins LTS \u003c 2.401.1",
                  "product_id": "T028135",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:cloudbees:jenkins:lts__2.401.1"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Jenkins"
          }
        ],
        "category": "vendor",
        "name": "Jenkins"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-35149",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-35149"
    },
    {
      "cve": "CVE-2023-35148",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-35148"
    },
    {
      "cve": "CVE-2023-35147",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-35147"
    },
    {
      "cve": "CVE-2023-35146",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-35146"
    },
    {
      "cve": "CVE-2023-35145",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-35145"
    },
    {
      "cve": "CVE-2023-35144",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-35144"
    },
    {
      "cve": "CVE-2023-35143",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-35143"
    },
    {
      "cve": "CVE-2023-35142",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-35142"
    },
    {
      "cve": "CVE-2023-35141",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-35141"
    },
    {
      "cve": "CVE-2023-32262",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-32262"
    },
    {
      "cve": "CVE-2023-32261",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in Jenkins Core und Jenkins Plugins. Die Fehler bestehen in den Plugins AWS CodeCommit Trigger, Checkmarx, Digital.ai App Management Publisher, Dimensions, Maven Repository Server, Sonargraph Integration, Team Concert, Template Workflows u.a. aufgrund mehrerer Cross-Site-Request-Forgeries, einer unsachgem\u00e4\u00dfen SSL/TLS-Zertifikatsvalidierung, fehlender Berechtigungspr\u00fcfungen und dem Lesen beliebiger Dateien. Ein entfernter, authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-06-14T22:00:00Z",
      "title": "CVE-2023-32261"
    }
  ]
}

{
  "GSD": {
    "alias": "CVE-2023-35146",
    "id": "GSD-2023-35146"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-35146"
      ],
      "details": "Jenkins Template Workflows Plugin 41.v32d86a_313b_4a and earlier does not escape names of jobs used as buildings blocks for Template Workflow Job, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to create jobs.",
      "id": "GSD-2023-35146",
      "modified": "2023-12-13T01:20:46.395799Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "jenkinsci-cert@googlegroups.com",
        "ID": "CVE-2023-35146",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "Jenkins Template Workflows Plugin",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "\u003c=",
                          "version_name": "0",
                          "version_value": "41.v32d86a_313b_4a"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "Jenkins Project"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "Jenkins Template Workflows Plugin 41.v32d86a_313b_4a and earlier does not escape names of jobs used as buildings blocks for Template Workflow Job, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to create jobs."
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "lang": "eng",
                "value": "n/a"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://www.jenkins.io/security/advisory/2023-06-14/#SECURITY-3166",
            "refsource": "MISC",
            "url": "https://www.jenkins.io/security/advisory/2023-06-14/#SECURITY-3166"
          },
          {
            "name": "http://www.openwall.com/lists/oss-security/2023/06/14/5",
            "refsource": "MISC",
            "url": "http://www.openwall.com/lists/oss-security/2023/06/14/5"
          }
        ]
      }
    },
    "gitlab.com": {
      "advisories": [
        {
          "affected_range": "(,41.v32d86a]",
          "affected_versions": "All versions up to 41.v32d86a",
          "cvss_v3": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N",
          "cwe_ids": [
            "CWE-1035",
            "CWE-79",
            "CWE-79",
            "CWE-937"
          ],
          "date": "2023-06-14",
          "description": "Jenkins Template Workflows Plugin 41.v32d86a_313b_4a and earlier does not escape names of jobs used as buildings blocks for Template Workflow Job, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to create jobs.",
          "fixed_versions": [],
          "identifier": "CVE-2023-35146",
          "identifiers": [
            "GHSA-62v2-xwh3-5gvx",
            "CVE-2023-35146"
          ],
          "not_impacted": "",
          "package_slug": "maven/org.jenkins.plugin.templateWorkflows/template-workflows",
          "pubdate": "2023-06-14",
          "solution": "Unfortunately, there is no solution available yet.",
          "title": "Improper Neutralization of Input During Web Page Generation (\u0027Cross-site Scripting\u0027)",
          "urls": [
            "https://nvd.nist.gov/vuln/detail/CVE-2023-35146",
            "https://www.jenkins.io/security/advisory/2023-06-14/#SECURITY-3166",
            "http://www.openwall.com/lists/oss-security/2023/06/14/5",
            "https://github.com/advisories/GHSA-62v2-xwh3-5gvx"
          ],
          "uuid": "254b5485-31da-446b-961b-8054b662da7f"
        }
      ]
    },
    "nvd.nist.gov": {
      "configurations": {
        "CVE_data_version": "4.0",
        "nodes": [
          {
            "children": [],
            "cpe_match": [
              {
                "cpe23Uri": "cpe:2.3:a:jenkins:template_workflows:*:*:*:*:*:jenkins:*:*",
                "cpe_name": [],
                "versionEndIncluding": "41.v32d86a_313b_4a",
                "vulnerable": true
              }
            ],
            "operator": "OR"
          }
        ]
      },
      "cve": {
        "CVE_data_meta": {
          "ASSIGNER": "jenkinsci-cert@googlegroups.com",
          "ID": "CVE-2023-35146"
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "en",
              "value": "Jenkins Template Workflows Plugin 41.v32d86a_313b_4a and earlier does not escape names of jobs used as buildings blocks for Template Workflow Job, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to create jobs."
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "en",
                  "value": "CWE-79"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://www.jenkins.io/security/advisory/2023-06-14/#SECURITY-3166",
              "refsource": "MISC",
              "tags": [
                "Vendor Advisory"
              ],
              "url": "https://www.jenkins.io/security/advisory/2023-06-14/#SECURITY-3166"
            },
            {
              "name": "http://www.openwall.com/lists/oss-security/2023/06/14/5",
              "refsource": "MISC",
              "tags": [
                "Mailing List",
                "Third Party Advisory"
              ],
              "url": "http://www.openwall.com/lists/oss-security/2023/06/14/5"
            }
          ]
        }
      },
      "impact": {
        "baseMetricV3": {
          "cvssV3": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 5.4,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "LOW",
            "integrityImpact": "LOW",
            "privilegesRequired": "LOW",
            "scope": "CHANGED",
            "userInteraction": "REQUIRED",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N",
            "version": "3.1"
          },
          "exploitabilityScore": 2.3,
          "impactScore": 2.7
        }
      },
      "lastModifiedDate": "2023-06-23T17:41Z",
      "publishedDate": "2023-06-14T13:15Z"
    }
  }
}

{
  "affected": [
    {
      "package": {
        "ecosystem": "Maven",
        "name": "org.jenkins.plugin.templateWorkflows:template-workflows"
      },
      "ranges": [
        {
          "events": [
            {
              "introduced": "0"
            },
            {
              "last_affected": "41.v32d86a"
            }
          ],
          "type": "ECOSYSTEM"
        }
      ]
    }
  ],
  "aliases": [
    "CVE-2023-35146"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-79"
    ],
    "github_reviewed": true,
    "github_reviewed_at": "2023-06-14T20:30:21Z",
    "nvd_published_at": "2023-06-14T13:15:12Z",
    "severity": "HIGH"
  },
  "details": "Jenkins Template Workflows Plugin 41.v32d86a_313b_4a and earlier does not escape names of jobs used as buildings blocks for Template Workflow Job.\n\nThis results in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to create jobs.",
  "id": "GHSA-62v2-xwh3-5gvx",
  "modified": "2023-06-14T20:30:21Z",
  "published": "2023-06-14T15:30:37Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-35146"
    },
    {
      "type": "WEB",
      "url": "https://www.jenkins.io/security/advisory/2023-06-14/#SECURITY-3166"
    },
    {
      "type": "WEB",
      "url": "http://www.openwall.com/lists/oss-security/2023/06/14/5"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H",
      "type": "CVSS_V3"
    }
  ],
  "summary": "Jenkins Template Workflows Plugin vulnerable to Stored Cross-site Scripting"
}