For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00104
Identificador(es)
ASA-2019-00104, SECURITY-886, CVE-2019-1003021
Título
Plugin OpenId Connect Authentication mostrava o segredo do cliente em texto puro no formulário de configuração
Fabricante(s)
CloudBees, Inc
Produto(s)
Jenkins
Versão(ões) afetada(s)
OpenId Connect Authentication até e incluindo 1.4
Versão(ões) corrigida(s)
OpenId Connect Authentication versão 1.5
Prova de conceito
Desconhecida
Descrição
O plugin de OpenId Connect Authentication armazena o segredo do cliente na configuração global do Jenkins.
Enquanto o segredo do cliente é armazenado criptografado em disco, ele foi transmitido em texto simples como parte do formulário de configuração e exibido sem mascarar. Isso pode resultar na exposição do segredo do cliente por meio de extensões de navegador, Cross-Site Scripting (XSS) e situações semelhantes.
O plugin OpenId Connect Authentication agora criptografa o segredo do cliente transmitido aos administradores que visualizam o formulário de configuração global.
Detalhes técnicos
Desconhecido
Créditos
Desconhecido
Referência(s)
Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28
OpenId Connect Authentication
https://plugins.jenkins.io/oic-auth
CVE-2019-1003021
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003021
CVE-2019-1003021
https://nvd.nist.gov/vuln/detail/CVE-2019-1003021
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 4 abril 2019