ASA-2019-00090 – Jenkins: Bypass de sandbox via Cross-Site Request Forgery (CSRF) em plugin Warnings


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00090

Identificador(es)

ASA-2019-00090, SECURITY-1295, CVE-2019-1003007

Título

Bypass de sandbox via Cross-Site Request Forgery (CSRF) em plugin Warnings

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Warnings Plugin até e incluindo 5.0.0

Versão(ões) corrigida(s)

Warnings Plugin versão 5.0.1

Prova de conceito

Desconhecida

Descrição

O plugin Warnings tem um ponto de extremidade HTTP de validação de formulário usado para validar um script Groovy enviado pelo usuário por meio da compilação, que não estava sujeita à proteção de caixa de proteção. O endpoint verificou a permissão Overall/RunScripts, mas não exigiu solicitações POST, por isso era vulnerável à Cross-Site Request Forgery (CSRF). Isso permitia que atacantes executassem código arbitrário no mestre Jenkins, aplicando as anotações de transformação AST, como @Grab, nos elementos do código-fonte. O terminal HTTP afetado agora aplica uma configuração segura do compilador Groovy, evitando o uso de anotações de transformação AST inseguras. Além disso, o endpoint HTTP de validação de formulário agora exige que as solicitações sejam enviadas via POST para evitar o CSRF.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28/

Jenkins Plugins
https://plugins.jenkins.io/warnings

CVE-2019-1003007
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003007

CVE-2019-1003007
https://nvd.nist.gov/vuln/detail/CVE-2019-1003007

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.