ASA-2019-00104 – Jenkins: Plugin OpenId Connect Authentication mostrava o segredo do cliente em texto puro no formulário de configuração


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00104

Identificador(es)

ASA-2019-00104, SECURITY-886, CVE-2019-1003021

Título

Plugin OpenId Connect Authentication mostrava o segredo do cliente em texto puro no formulário de configuração

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

OpenId Connect Authentication até e incluindo 1.4

Versão(ões) corrigida(s)

OpenId Connect Authentication versão 1.5

Prova de conceito

Desconhecida

Descrição

O plugin de OpenId Connect Authentication armazena o segredo do cliente na configuração global do Jenkins.

Enquanto o segredo do cliente é armazenado criptografado em disco, ele foi transmitido em texto simples como parte do formulário de configuração e exibido sem mascarar. Isso pode resultar na exposição do segredo do cliente por meio de extensões de navegador, Cross-Site Scripting (XSS) e situações semelhantes.

O plugin OpenId Connect Authentication agora criptografa o segredo do cliente transmitido aos administradores que visualizam o formulário de configuração global.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

OpenId Connect Authentication
https://plugins.jenkins.io/oic-auth

CVE-2019-1003021
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003021

CVE-2019-1003021
https://nvd.nist.gov/vuln/detail/CVE-2019-1003021

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 4 abril 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.