ASA-2019-00101 – Jenkins: O plugin GitHub Authentication mostrava o segredo do cliente em texto puro no formulário de configuração


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00101

Identificador(es)

ASA-2019-00101, SECURITY-602, CVE-2019-1003018

Título

O plugin GitHub Authentication mostrava o segredo do cliente em texto puro no formulário de configuração

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

GitHub Authentication Plugin até e incluindo 0.29

Versão(ões) corrigida(s)

GitHub Authentication Plugin versão 0.31

Prova de conceito

Desconhecida

Descrição

O plugin GitHub Authentication armazena o segredo do cliente na configuração global do Jenkins.

Enquanto o segredo do cliente é armazenado criptografado em disco, ele foi transmitido em texto puro como parte do formulário de configuração e exibido sem mascarar. Isso pode resultar na exposição do segredo do cliente por meio de extensões de navegador, Cross-Site Scripting (XSS) e situações semelhantes.

O plugin GitHub Authentication agora criptografa o segredo do cliente transmitido aos administradores que visualizam o formulário de configuração de segurança global.

Detalhes técnicos

Desconhecido

Créditos

R. Tyler Croy (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/github-oauth

CVE-2019-1003018
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003018

CVE-2019-1003018
https://nvd.nist.gov/vuln/detail/CVE-2019-1003018

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019