ASA-2019-00094 – Jenkins: Expansão recursiva de tokens resulta em vazamento de informações e DoS no plugin Macro Token


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00094

Identificador(es)

ASA-2019-00094, SECURITY-1102, CVE-2019-1003011

Título

Expansão recursiva de tokens resulta em vazamento de informações e DoS no plugin Macro Token

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Token Macro Plugin até e incluindo 2.5

Versão(ões) corrigida(s)

Token Macro Plugin versão 2.6

Prova de conceito

Desconhecida

Descrição

Isso poderia ser usado por usuários capazes de afetar entrada para expansão de token (como mensagens de log de alteração), para injetar tokens adicionais na entrada, que seria expandida, resultando em vazamento de informações (por exemplo, valores de variáveis de ambiente) ou negação de serviço.

Detalhes técnicos

Desconhecido

Créditos

Andy Caldwell (Metaswitch Networks) e Chris Swindle (Metaswitch Networks)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugin
https://plugins.jenkins.io/token-macro

CVE-2019-1003011
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003011

CVE-2019-1003011
https://nvd.nist.gov/vuln/detail/CVE-2019-1003011

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.