ASA-2019-00599 – Jenkins Bitbucket OAuth Plugin: Credenciais armazenadas em texto puro


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00599

Identificador(es)

ASA-2019-00599, CVE-2019-10460, SECURITY-1546

Título

Credenciais armazenadas em texto puro

Fabricante(s)

mallowlabs

Produto(s)

Jenkins Bitbucket OAuth Plugin

Versão(ões) afetada(s)

Jenkins Bitbucket OAuth Plugin versões anteriores à 0.10

Versão(ões) corrigida(s)

Jenkins Bitbucket OAuth Plugin versão 0.10

Prova de conceito

Desconhecido

Descrição

Bitbucket OAuth Plugin armazena credenciais não criptografadas no arquivo de configuração global config.xml no Jenkins mestre. Essa credencial pode ser visualizada por usuários com acesso ao sistema de arquivo do mestre.

Detalhes técnicos

Desconhecido

Créditos

James Holderness (IB Boost)

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1546

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

Jenkins Plugins
https://plugins.jenkins.io/bitbucket-oauth

[SECURITY-1546] fix client secret is saved in plain text
https://github.com/jenkinsci/bitbucket-oauth-plugin/commit/f55d222db910220ca8cd8631fb746c98b9e12870

CVE-2019-10460
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10460

CVE-2019-10460
https://nvd.nist.gov/vuln/detail/CVE-2019-10460

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 11 novembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.