ASA-2019-00102 – Jenkins: Vulnerabilidade de session fixation no plugin GitHub Authentication

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00102

Identificador(es)

ASA-2019-00102, SECURITY-797, CVE-2019-1003019

Título

Vulnerabilidade de session fixation no plugin GitHub Authentication

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

GitHub Authentication Plugin até e incluindo 0.29

Versão(ões) corrigida(s)

GitHub Authentication Plugin versão 0.31

Prova de conceito

Desconhecida

Descrição

O plugin GitHub Authentication não invalidou a sessão anterior e criou uma nova após o login bem-sucedido, permitindo que os atacantes controlassem ou obtivessem a ID da sessão de pré-login de outro usuário para representá-los.

Detalhes técnicos

Desconhecido

Créditos

Wadeck Follonier (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/github-oauth

CVE-2019-1003019
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003019

CVE-2019-1003019
https://nvd.nist.gov/vuln/detail/CVE-2019-1003019

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 5 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.