ASA-2019-00603 – Jenkins Dynatrace Application Monitoring Plugin: Verificações de Permissão Ausentes


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00603

Identificador(es)

ASA-2019-00603, CVE-2019-10463, SECURITY-1483 (2)

Título

Verificações de Permissão Ausentes

Fabricante(s)

Dynatrace Development Team

Dariusz Glugla

Piotr Lugowsk

Produto(s)

Jenkins Dynatrace Application Monitoring Plugin

Versão(ões) afetada(s)

Jenkins Dynatrace Application Monitoring Plugin versões anteriores à 2.1.4

Versão(ões) corrigida(s)

Desconhecido

Prova de conceito

Desconhecido

Descrição

O Dynatrace Application Monitoring Plugin não realiza verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com acesso geral / de leitura ao Jenkins iniciem um teste de conexão com um servidor especificado pelo invasor com o nome de usuário e a senha especificados pelo invasor.

Detalhes técnicos

Desconhecido

Créditos

Viktor Gazdag (NCC Group)

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1483 (2)

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Dynatrace Application Monitoring
https://plugins.jenkins.io/dynatrace-dashboard

CVE-2019-10463
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10463

CVE-2019-10463
https://nvd.nist.gov/vuln/detail/CVE-2019-10463

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.