ASA-2019-00613 – Jenkins Libvirt Slaves Plugin: Usuários com acesso Geral/Leitura podem enumerar IDs credenciais

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00613

Identificador(es)

ASA-2019-00613, CVE-2019-10473, SECURITY-1014 (2)

Título

Usuários com acesso Geral/Leitura podem enumerar IDs credenciais

Fabricante(s)

Philipp Bartsch

Marco Mornati

Nigel Magnay

Produto(s)

Jenkins Libvirt Slaves Plugin

Versão(ões) afetada(s)

Jenkins Libvirt Slaves Plugin versão até e incluindo 1.8.5

Versão(ões) corrigida(s)

Desconhecido

Prova de Conceito

Desconhecido

Descrição

O plugin Jenkins Libvirt Slaves fornece uma lista de IDs de credenciais aplicáveis para permitir que os usuários que configuram o plugin selecionem o que usar.

Essa funcionalidade não verifica corretamente as permissões, permitindo que qualquer usuário com permissão Geral/Leitura obtenha uma lista de IDs de credenciais válidas. Elas podem ser usados como parte de um ataque para capturar as credenciais usando outra vulnerabilidade.

Detalhes técnicos

Desconhecido

Créditos

Oleg Nenashev (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1014 (2)

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Jenkins Plugins
https://plugins.jenkins.io/libvirt-slave

CVE-2019-10473
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10473

CVE-2019-10473
https://nvd.nist.gov/vuln/detail/CVE-2019-10473

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.