ASA-2019-00602 – Jenkins Dynatrace Application Monitoring Plugin: Cross-Site Request Forgery


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00602

Identificador(es)

ASA-2019-00602, CVE-2019-10462, SECURITY-1483 (1)

Título

Cross-Site Request Forgery

Fabricante(s)

Dynatrace Development Team

Dariusz Glugla

Piotr Lugowsk

Produto(s)

Jenkins Dynatrace Application Monitoring Plugin

Versão(ões) afetada(s)

Jenkins Dynatrace Application Monitoring Plugin versões anteriores à 2.1.4

Versão(ões) corrigida(s)

Jenkins Dynatrace Application Monitoring Plugin versão 2.1.4

Prova de conceito

Desconhecido

Descrição

O Dynatrace Application Monitoring Plugin não exigiu solicitações POST em um método que implementa a validação de formulário. Essa vulnerabilidade de Cross Site Request Forgery (CSRF) permitiu que os invasores iniciassem um teste de conexão com um servidor especificado pelo invasor com nome de usuário e senha especificados pelo invasor.

Detalhes técnicos

Desconhecido

Créditos

Viktor Gazdag (NCC Group)

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1483 (1)

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Dynatrace Application Monitoring
https://plugins.jenkins.io/dynatrace-dashboard

Bugfix/august2019 #18
https://github.com/jenkinsci/dynatrace-plugin/pull/18

Bugfix/august2019 (#18)
https://github.com/jenkinsci/dynatrace-plugin/commit/373adaa1161d59ccd4e5e3469a9b6aeec17968ae

Bugfix/august2019 #18
https://github.com/jenkinsci/dynatrace-plugin/pull/18/commits/f61c3bf946deb208b6b8ac497ac3879cec6c5aa0

CVE-2019-10462
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10462

CVE-2019-10462
https://nvd.nist.gov/vuln/detail/CVE-2019-10462

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 11 novembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.