ASA-2019-00097 – Jenkins: Vulnerabilidade de Cross-Site Scripting (XSS) no plugin Config File Provider


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00097

Identificador(es)

ASA-2019-00097, SECURITY-1253, CVE-2019-1003014

Título

Vulnerabilidade de Cross-Site Scripting (XSS) no plugin Config File Provider

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Config File Provider Plugin até e incluindo 3.4.1

Versão(ões) corrigida(s)

Config File Provider Plugin versão 3.5

Prova de conceito

Desconhecida

Descrição

O plugin Config File Provider manipulou indevidamente nomes de script em sua UI baseada em JavaScript, resultando em uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada.

Detalhes técnicos

Desconhecido

Créditos

Adam Willard

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/config-file-provider

CVE-2019-1003014
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003014

CVE-2019-1003014
https://nvd.nist.gov/vuln/detail/CVE-2019-1003014

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.