For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00602
Identificador(es)
ASA-2019-00602, CVE-2019-10462, SECURITY-1483 (1)
Título
Cross-Site Request Forgery
Fabricante(s)
Dynatrace Development Team
Dariusz Glugla
Piotr Lugowsk
Produto(s)
Jenkins Dynatrace Application Monitoring Plugin
Versão(ões) afetada(s)
Jenkins Dynatrace Application Monitoring Plugin versões anteriores à 2.1.4
Versão(ões) corrigida(s)
Jenkins Dynatrace Application Monitoring Plugin versão 2.1.4
Prova de conceito
Desconhecido
Descrição
O Dynatrace Application Monitoring Plugin não exigiu solicitações POST em um método que implementa a validação de formulário. Essa vulnerabilidade de Cross Site Request Forgery (CSRF) permitiu que os invasores iniciassem um teste de conexão com um servidor especificado pelo invasor com nome de usuário e senha especificados pelo invasor.
Detalhes técnicos
Desconhecido
Créditos
Viktor Gazdag (NCC Group)
Referência(s)
Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1483 (1)
Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ
oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2
Dynatrace Application Monitoring
https://plugins.jenkins.io/dynatrace-dashboard
Bugfix/august2019 #18
https://github.com/jenkinsci/dynatrace-plugin/pull/18
Bugfix/august2019 (#18)
https://github.com/jenkinsci/dynatrace-plugin/commit/373adaa1161d59ccd4e5e3469a9b6aeec17968ae
Bugfix/august2019 #18
https://github.com/jenkinsci/dynatrace-plugin/pull/18/commits/f61c3bf946deb208b6b8ac497ac3879cec6c5aa0
CVE-2019-10462
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10462
CVE-2019-10462
https://nvd.nist.gov/vuln/detail/CVE-2019-10462
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 11 novembro 2019