For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00603
Identificador(es)
ASA-2019-00603, CVE-2019-10463, SECURITY-1483 (2)
Título
Verificações de Permissão Ausentes
Fabricante(s)
Dynatrace Development Team
Dariusz Glugla
Piotr Lugowsk
Produto(s)
Jenkins Dynatrace Application Monitoring Plugin
Versão(ões) afetada(s)
Jenkins Dynatrace Application Monitoring Plugin versões anteriores à 2.1.4
Versão(ões) corrigida(s)
Desconhecido
Prova de conceito
Desconhecido
Descrição
O Dynatrace Application Monitoring Plugin não realiza verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com acesso geral / de leitura ao Jenkins iniciem um teste de conexão com um servidor especificado pelo invasor com o nome de usuário e a senha especificados pelo invasor.
Detalhes técnicos
Desconhecido
Créditos
Viktor Gazdag (NCC Group)
Referência(s)
Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1483 (2)
Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ
oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2
Dynatrace Application Monitoring
https://plugins.jenkins.io/dynatrace-dashboard
CVE-2019-10463
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10463
CVE-2019-10463
https://nvd.nist.gov/vuln/detail/CVE-2019-10463
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019