For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00598
Identificador(es)
ASA-2019-00598, CVE-2019-10459, SECURITY-1628
Título
Webhook endpoint token armazenado em texto puro
Fabricante(s)
Jo Vandeginste
Eirik Wang
Produto(s)
Jenkins Mattermost Notification Plugin
Versão(ões) afetada(s)
Jenkins Mattermost Notification Plugin versões anteriores à 2.7.1
Versão(ões) corrigida(s)
Jenkins Mattermost Notification Plugin versão 2.7.1
Prova de conceito
Desconhecido
Descrição
O Mattermost permite a definição de URLs de webhook de entrada (da perspectiva do serviço). Eles contêm o que é efetivamente um token secreto como parte da URL.
O plug-in de notificação da Mattermost armazenou esses URLs de webhook como parte do arquivo de configuração global jenkins.plugins.mattermost.MattermostNotifier.xml e dos arquivos config.xml das tarefas no Jenkins mestre. Essas URLs podem ser visualizados por usuários com permissão de Leitura Estendida (no caso de arquivos config.xml das tarefas) ou acesso ao sistema de arquivos mestre.
Detalhes técnicos
Desconhecido
Créditos
Wasin Saengow
Referência(s)
Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1628
oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2
Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ
Jenkins Plugins
https://plugins.jenkins.io/mattermost
Change type of endpoint to Secret
https://github.com/jenkinsci/mattermost-plugin/commit/c6e509307812d93ba295a35dea95016f007de158
CVE-2019-10459
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10459
CVE-2019-10459
https://nvd.nist.gov/vuln/detail/CVE-2019-10459
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 11 novembro 2019