ASA-2019-00091 – Jenkins: Bypass de sandbox via Cross-Site Request Forgery (CSRF) no plugin Warnings Next Generation


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00091

Identificador(es)

ASA-2019-00091, SECURITY-1295, CVE-2019-1003008

Título

Bypass de sandbox via Cross-Site Request Forgery (CSRF) no plugin Warnings Next Generation

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Warnings Next Generation Plugin até e incluindo 2.1.1

Versão(ões) corrigida(s)

Warnings Next Generation Plugin versão 2.1.2

Prova de conceito

Desconhecida

Descrição

O plugin Warnings Next Generation tem um endpoint HTTP de validação de formulário usado para validar um script Groovy por meio de compilação, que não estava sujeito à proteção de sandbox. O endpoint verificou a permissão Overall/RunScripts, mas não exigiu solicitações POST, por isso era vulnerável à Cross-Site Request Forgery (CSRF). Isso permitia que atacantes executassem código arbitrário no mestre Jenkins, aplicando as anotações de transformação AST, como @Grab, nos elementos do código-fonte.

O terminal HTTP afetado agora aplica uma configuração segura do compilador Groovy, evitando o uso de anotações de transformação AST inseguras. Além disso, o endpoint HTTP de validação de formulário agora exige que as solicitações sejam enviadas via POST para evitar o CSRF.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28/

Jenkins Plugins
https://plugins.jenkins.io/warnings-ng

CVE-2019-1003008
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003008

CVE-2019-1003008
https://nvd.nist.gov/vuln/detail/CVE-2019-1003008

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.