ASA-2019-00100 – Jenkins: Vulnerabilidade de Cross-Site Request Forgery (CSRF) em plugin Job Import permitia a criação e sobrescrita de tarefas


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00100

Identificador(es)

ASA-2019-00100, SECURITY-1302, CVE-2019-1003017

Título

Vulnerabilidade de Cross-Site Request Forgery (CSRF) em plugin Job Import permitia a criação e sobrescrita de tarefas

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Job Import Plugin até e incluindo 3.0

Versão(ões) corrigida(s)

Job Import Plugin versão 3.1

Prova de conceito

Desconhecida

Descrição

O plugin Job Import não exige que as solicitações POST sejam enviadas para sua URL /import, que processa solicitações para importar tarefas. Isso resultou em uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que pode ser explorada para criar ou substituir tarefas na instância local se a instância remota do Jenkins tiver diferentes com o mesmo nome ou para instalar plug-ins adicionais, se as tarefas na instância remota do Jenkins referenciá-los em sua configuração.

O plugin Job Import 3.0 restringe quais tarefas de instâncias Jenkins remotas podem ser importadas, limitando como isso pode ser explorado. No plugin Job Import 3.1, a URL /import requer que as solicitações sejam enviadas via POST.

Detalhes técnicos

Desconhecido

Créditos

Daniel Beck (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/job-import-plugin

CVE-2019-1003017
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003017

CVE-2019-1003017
https://nvd.nist.gov/vuln/detail/CVE-2019-1003017

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.