ASA-2019-00098 – Jenkins: Vulnerabilidade de XML External Entity (XXE) no plugin Job Import


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00098

Identificador(es)

ASA-2019-00098, SECURITY-905, CVE-2019-1003015

Título

Vulnerabilidade de XML External Entity (XXE) no plugin Job Import

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Job Import Plugin até e incluindo 2.1

Versão(ões) corrigida(s)

Job Import Plugin versão 3.0

Prova de conceito

Desconhecida

Descrição

O plugin Job Import permite importar trabalhos de outras instâncias do Jenkins. Como uma primeira etapa nesse processo, o plugin Job Import envia uma solicitação para outra instância do Jenkins, analisando a saída da API REST XML para obter uma lista de tarefas que podem ser importadas.

O plugin Job Import não configurou o analisador XML de uma maneira que impediria o processamento da XML External Entity (XXE). Isso permitiu que atacantes conseguissem controlar o servidor que Jenkins consultaria ou o URL Jenkins consultaria para fazer com que ele analisasse uma resposta XML criada com códigos maliciosos que usasse entidades externas para extração de segredos do mestre Jenkins, Server-Side Request Forgery (SSRF) ou negação de serviço.

Detalhes técnicos

Desconhecido

Créditos

Thomas Chauchefoin (Synacktiv) e Julien Szlamowicz (Synacktiv)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/job-import-plugin

CVE-2019-1003015
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003015

CVE-2019-1003015
https://nvd.nist.gov/vuln/detail/CVE-2019-1003015

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.