ASA-2019-00095 – Jenkins: Plugin Blue Ocean não exige tokens Cross-Site Request Forgery (CSRF)


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00095

Identificador(es)

ASA-2019-00095, SECURITY-1201, CVE-2019-1003012

Título

Plugin Blue Ocean não exige tokens Cross-Site Request Forgery (CSRF)

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Blue Ocean Plugin até e incluindo 1.10.1

Versão(ões) corrigida(s)

Blue Ocean Plugin versão 1.10.2

Prova de conceito

Desconhecida

Descrição

O Blue Ocean não exigia tokens CSRF (“crumbs”) para solicitações POST com o Content-Type: application/json.

O Blue Ocean agora exige que tokens CSRF válidos estejam presentes nas solicitações POST.

Detalhes técnicos

Desconhecido

Créditos

Wadeck Follonier (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/blueocean

CVE-2019-1003012
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003012

CVE-2019-1003012
https://nvd.nist.gov/vuln/detail/CVE-2019-1003012

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.