For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00099
Identificador(es)
ASA-2019-00099, SECURITY-905, CVE-2019-1003016
Título
A vulnerabilidade de Cross-Site Request Forgery (CSRF) e as verificações de permissão ausentes no plugin Job Import permitiram a captura de credenciais
Fabricante(s)
CloudBees, Inc
Produto(s)
Jenkins
Versão(ões) afetada(s)
Job Import Plugin até e incluindo 2.1
Versão(ões) corrigida(s)
Job Import Plugin versão 3.0
Prova de conceito
Desconhecida
Descrição
O plugin Job Import não verificou as permissões do usuário em seu ponto de extremidade da API usada para acessar instâncias remotas do Jenkins. Isso permitiu que os usuários com acesso Overall/Read ao Jenkins se conectassem a uma URL especificada pelo atacante usando IDs de credenciais especificadas pelo atacante obtidas por meio de outro método, capturando as credenciais armazenadas no Jenkins.
Detalhes técnicos
Desconhecido
Créditos
Thomas Chauchefoin (Synacktiv) e Julien Szlamowicz (Synacktiv)
Referência(s)
Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28
Jenkins Plugins
https://plugins.jenkins.io/job-import-plugin
CVE-2019-1003016
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003016
CVE-2019-1003016
https://nvd.nist.gov/vuln/detail/CVE-2019-1003016
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 24 fevereiro 2019