ASA-2019-00609 – Jenkins ElasticBox Kubernetes CI/CD Plugin: Verificações de Permissão Ausentes

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00609

Identificador(es)

ASA-2019-00609, CVE-2019-10469, SECURITY-1005 (1)

Título

Verificações de Permissão Ausentes

Fabricante(s)

Gustavo Llorente

Guillermo Sanchez Urien

Produto(s)

Jenkins ElasticBox Kubernetes CI/CD Plugin

Versão(ões) afetada(s)

Jenkins ElasticBox Kubernetes CI/CD Plugin versões até e incluindo 1.3

Versão(ões) corrigida(s)

Desconhecido

Prova de Conceito

Desconhecido

Descrição

Jenkins ElasticBox Kubernetes CI/CD Plugin não executa verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com acesso Geral/Leitura ao Jenkins se conectem a uma URL especificada pelo atacante usando IDs de credenciais especificadas pelo atacante obtidas por outro método, capturando credenciais armazenadas no Jenkins.

Detalhes técnicos

Desconhecido

Créditos

Oleg Nenashev (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1005 (1)

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Jenkins Plugins
https://plugins.jenkins.io/kubernetes-ci

CVE-2019-10469
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10469

CVE-2019-10469
https://nvd.nist.gov/vuln/detail/CVE-2019-10469

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.