ASA-2019-00605 – Jenkins Deploy WebLogic Plugin: Verificações de Permissão Ausentes


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00605

Identificador(es)

ASA-2019-00605, CVE-2019-10465, SECURITY-820

Título

Verificações de Permissão Ausentes

Fabricante(s)

Raphael CHAUMIER

Produto(s)

Jenkins Deploy WebLogic Plugin

Versão(ões) afetada(s)

Jenkins Deploy WebLogic Plugin versões até e incluindo 4.1

Versão(ões) corrigida(s)

Desconhecido

Prova de conceito

Desconhecido

Descrição

A implementação do WebLogic Plugin não executa verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com acesso geral / de leitura ao Jenkins enviem uma solicitação HTTP HEAD para uma URL especificada pelo usuário ou confirme a existência de qualquer arquivo ou diretório no Jenkins mestre.

Detalhes técnicos

Desconhecido

Créditos

Thomas de Grenier de Latour

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-820

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Jenkins Plugins
https://plugins.jenkins.io/weblogic-deployer-plugin

CVE-2019-10465
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10465

CVE-2019-10465
https://nvd.nist.gov/vuln/detail/CVE-2019-10465

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.