For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00093
Identificador(es)
ASA-2019-00093, SECURITY-1095, CVE-2019-1003010
Título
Cross-Site Request Forgery (CSRF) no plugin Git
Fabricante(s)
CloudBees, Inc
Produto(s)
Jenkins
Versão(ões) afetada(s)
Git Plugin até e inlcuindo 3.9.1
Versão(ões) corrigida(s)
Git Plugin versão 3.9.2
Prova de conceito
Desconhecida
Descrição
O plugin Git permite a criação de uma tag no repositório Git de uma área de trabalho da tarefa com metadados anexados a um registro de construção.
O endpoint HTTP para criar a tag não exigiu solicitações POST, resultando em uma vulnerabilidade de CSRF.
O endpoint HTTP para criar a tag agora requer que as solicitações sejam enviadas via POST.
Detalhes técnicos
Desconhecido
Créditos
Oleg Nenashev
Referência(s)
Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28
Jenkins Plugin
https://plugins.jenkins.io/git
CVE-2019-1003010
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003010
CVE-2019-1003010
https://nvd.nist.gov/vuln/detail/CVE-2019-1003010
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 24 fevereiro 2019