For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00607
Identificador(es)
ASA-2019-00607, CVE-2019-10467, SECURITY-1003
Título
Credenciais armazenadas em texto puro
Fabricante(s)
Tatiana Didik (Goretskaya)
Aleksey Didik
Produto(s)
Jenkins Sonar Gerrit Plugin
Versão(ões) afetada(s)
Jenkins Sonar Gerrit Plugin versões até e incluindo 2.3
Versão(ões) corrigida(s)
Desconhecido
Prova de conceito
Desconhecido
Descrição
Credencial não criptografada nos arquivos config.xml da tarefa no mestre Jenkins se a opção ‘Substituir credenciais’ for usada. Essa credencial pode ser visualizada por usuários com permissão de Leitura Estendida ou acesso ao sistema de arquivos mestre.
Detalhes técnicos
Desconhecido
Créditos
Oleg Nenashev (CloudBees, Inc)
Referência(s)
Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1003
Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ
oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2
Jenkins Plugins
https://plugins.jenkins.io/sonar-gerrit
CVE-2019-10467
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10467
CVE-2019-10467
https://nvd.nist.gov/vuln/detail/CVE-2019-10467
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 6 dezembro 2019