For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00100
Identificador(es)
ASA-2019-00100, SECURITY-1302, CVE-2019-1003017
Título
Vulnerabilidade de Cross-Site Request Forgery (CSRF) em plugin Job Import permitia a criação e sobrescrita de tarefas
Fabricante(s)
CloudBees, Inc
Produto(s)
Jenkins
Versão(ões) afetada(s)
Job Import Plugin até e incluindo 3.0
Versão(ões) corrigida(s)
Job Import Plugin versão 3.1
Prova de conceito
Desconhecida
Descrição
O plugin Job Import não exige que as solicitações POST sejam enviadas para sua URL /import, que processa solicitações para importar tarefas. Isso resultou em uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que pode ser explorada para criar ou substituir tarefas na instância local se a instância remota do Jenkins tiver diferentes com o mesmo nome ou para instalar plug-ins adicionais, se as tarefas na instância remota do Jenkins referenciá-los em sua configuração.
O plugin Job Import 3.0 restringe quais tarefas de instâncias Jenkins remotas podem ser importadas, limitando como isso pode ser explorado. No plugin Job Import 3.1, a URL /import requer que as solicitações sejam enviadas via POST.
Detalhes técnicos
Desconhecido
Créditos
Daniel Beck (CloudBees, Inc)
Referência(s)
Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28
Jenkins Plugins
https://plugins.jenkins.io/job-import-plugin
CVE-2019-1003017
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003017
CVE-2019-1003017
https://nvd.nist.gov/vuln/detail/CVE-2019-1003017
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 24 fevereiro 2019