ASA-2019-00606 – Jenkins 360 FireLine Plugin: Vulnerabilidade de XML External Entity (XXE)


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00606

Identificador(es)

ASA-2019-00606, CVE-2019-10466, SECURITY-822

Título

Vulnerabilidade de XML External Entity (XXE)

Fabricante(s)

Acunetix360

Produto(s)

Jenkins 360 FireLine Plugin

Versão(ões) afetada(s)

Jenkins 360 FireLine Plugin versões até e incluindo 1.7.2

Versão(ões) corrigida(s)

Desconhecido

Prova de conceito

Desconhecido

Descrição

Um método de validação de formulário que aceita XML não executa verificações de permissão. Isso permite que os usuários com permissão Geral/Leitura tenham o Jenkins para analisar um arquivo XML criado que usa entidades externas para extração de segredos do agente Jenkins, server-side request forgery (SSRF) ou ataques de negação de serviço.

Detalhes técnicos

Desconhecido

Créditos

Thomas de Grenier de Latour

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-822

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Jenkins Plugins
https://plugins.jenkins.io/acunetix-360-scan

CVE-2019-10466
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10466

CVE-2019-10466
https://nvd.nist.gov/vuln/detail/CVE-2019-10466

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 6 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.