ASA-2019-00105 – Jenkins: Plugin Monitoring não aplica proteção Cross-Site Request Forgery (CSRF) mesmo se habilitado no Jenkins

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00105

Identificador(es)

ASA-2019-00105, SECURITY-1153, CVE-2019-1003022

Título

Plugin Monitoring não aplica proteção Cross-Site Request Forgery (CSRF) mesmo se habilitado no Jenkins

Fabricante(s)

CloudBees, Inc

Produto(s)

Jenkins

Versão(ões) afetada(s)

Monitoring Plugin até e incluindo 1.74.0

Versão(ões) corrigida(s)

Monitoring Plugin versão 1.75.0

Prova de conceito

Desconhecida

Descrição

O plugin Monitoring fornece um servlet JavaMelody com uma configuração de proteção Cross-Site Request Forgery (CSRF) independente. Mesmo se Jenkins tiver a proteção contra Cross-Site Request Forgery (CSRF) ativada, o plugin Monitoring poderá não tê-lo ativado.

Detalhes técnicos

Desconhecido

Créditos

Daniel Beck (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-01-28
https://jenkins.io/security/advisory/2019-01-28

Jenkins Plugins
https://plugins.jenkins.io/monitoring

CVE-2019-1003022
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003022

CVE-2019-1003022
https://nvd.nist.gov/vuln/detail/CVE-2019-1003022

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.