ASA-2019-00600 – Jenkins Zulip Plugin: Credenciais armazenadas em texto puro


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00600

Identificador(es)

ASA-2019-00600, CVE-2019-10476, SECURITY-1621

Título

Credenciais armazenadas em texto puro

Fabricante(s)

Waseem Daher

Milan Koníř

Produto(s)

Jenkins Zulip Plugin

Versão(ões) afetada(s)

Jenkins Zulip Plugin versões anteriores à 1.1.1

Versão(ões) corrigida(s)

Jenkins Zulip Plugin versão 1.1.1

Prova de conceito

Desconhecido

Descrição

O Zulip Plugin armazena credenciais não criptografadas em seu arquivo de configuração global jenkins.plugins.zulip.ZulipNotifier.xml, bem como no arquivo de configuração herdado hudson.plugins.humbug.HumbugNotifier.xml no Jenkins mestre. Tais credenciais podem ser visualizadas por usuários com acesso ao sistema de arquivo do mestre.

Detalhes técnicos

Desconhecido

Créditos

Wasin Saengow

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1621

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

Jenkins Plugins
https://plugins.jenkins.io/zulip

SECURITY-1621 Store global config API key as Secret
https://github.com/jenkinsci/zulip-plugin/commit/2a9dd6c41c2d913b0414d015b3118e3ddb60bd90

CVE-2019-10476
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10476

CVE-2019-10476
https://nvd.nist.gov/vuln/detail/CVE-2019-10476

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 11 novembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.