ASA-2019-00093 – Jenkins: Cross-Site Request Forgery (CSRF) no plugin Git


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00093

Identificador(es)

ASA-2019-00093, SECURITY-1095, CVE-2019-1003010

Título

Cross-Site Request Forgery (CSRF) no plugin Git

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Git Plugin até e inlcuindo 3.9.1

Versão(ões) corrigida(s)

Git Plugin versão 3.9.2

Prova de conceito

Desconhecida

Descrição

O plugin Git permite a criação de uma tag no repositório Git de uma área de trabalho da tarefa com metadados anexados a um registro de construção.

O endpoint HTTP para criar a tag não exigiu solicitações POST, resultando em uma vulnerabilidade de CSRF.

O endpoint HTTP para criar a tag agora requer que as solicitações sejam enviadas via POST.

Detalhes técnicos

Desconhecido

Créditos

Oleg Nenashev

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugin
https://plugins.jenkins.io/git

CVE-2019-1003010
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003010

CVE-2019-1003010
https://nvd.nist.gov/vuln/detail/CVE-2019-1003010

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.