For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00609
Identificador(es)
ASA-2019-00609, CVE-2019-10469, SECURITY-1005 (1)
Título
Verificações de Permissão Ausentes
Fabricante(s)
Gustavo Llorente
Guillermo Sanchez Urien
Produto(s)
Jenkins ElasticBox Kubernetes CI/CD Plugin
Versão(ões) afetada(s)
Jenkins ElasticBox Kubernetes CI/CD Plugin versões até e incluindo 1.3
Versão(ões) corrigida(s)
Desconhecido
Prova de Conceito
Desconhecido
Descrição
Jenkins ElasticBox Kubernetes CI/CD Plugin não executa verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com acesso Geral/Leitura ao Jenkins se conectem a uma URL especificada pelo atacante usando IDs de credenciais especificadas pelo atacante obtidas por outro método, capturando credenciais armazenadas no Jenkins.
Detalhes técnicos
Desconhecido
Créditos
Oleg Nenashev (CloudBees, Inc)
Referência(s)
Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1005 (1)
Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ
oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2
Jenkins Plugins
https://plugins.jenkins.io/kubernetes-ci
CVE-2019-10469
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10469
CVE-2019-10469
https://nvd.nist.gov/vuln/detail/CVE-2019-10469
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019