ASA-2019-00096 – Jenkins: Vulnerabilidade de Cross-Site Scripting (XSS) via descrição de usuário no plugin Blue Ocean

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00096

Identificador(es)

ASA-2019-00096, SECURITY-1204, CVE-2019-1003013

Título

Vulnerabilidade de Cross-Site Scripting (XSS) via descrição de usuário no plugin Blue Ocean

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Blue Ocean Plugin até e incluindo 1.10.1

Versão(ões) corrigida(s)

Blue Ocean Plugin versão 1.10.2

Prova de conceito

Desconhecida

Descrição

O Blue Ocean não escapou adequadamente do conteúdo HTML/JavaScript definido no campo de descrição do usuário atual, resultando em uma vulnerabilidade de Cross-Site Scripting explorada por administradores e outras pessoas que acessam o Jenkins com a mesma conta de usuário.

O Blue Ocean agora escapa adequadamente o conteúdo HTML/JavaScript definido no campo de descrição do usuário atual.

Detalhes técnicos

Desconhecido

Créditos

Man Shum

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/blueocean

CVE-2019-1003013
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003013

CVE-2019-1003013
https://nvd.nist.gov/vuln/detail/CVE-2019-1003013

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.