For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00613
Identificador(es)
ASA-2019-00613, CVE-2019-10473, SECURITY-1014 (2)
Título
Usuários com acesso Geral/Leitura podem enumerar IDs credenciais
Fabricante(s)
Philipp Bartsch
Marco Mornati
Nigel Magnay
Produto(s)
Jenkins Libvirt Slaves Plugin
Versão(ões) afetada(s)
Jenkins Libvirt Slaves Plugin versão até e incluindo 1.8.5
Versão(ões) corrigida(s)
Desconhecido
Prova de Conceito
Desconhecido
Descrição
O plugin Jenkins Libvirt Slaves fornece uma lista de IDs de credenciais aplicáveis para permitir que os usuários que configuram o plugin selecionem o que usar.
Essa funcionalidade não verifica corretamente as permissões, permitindo que qualquer usuário com permissão Geral/Leitura obtenha uma lista de IDs de credenciais válidas. Elas podem ser usados como parte de um ataque para capturar as credenciais usando outra vulnerabilidade.
Detalhes técnicos
Desconhecido
Créditos
Oleg Nenashev (CloudBees, Inc)
Referência(s)
Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1014 (2)
Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ
oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2
Jenkins Plugins
https://plugins.jenkins.io/libvirt-slave
CVE-2019-10473
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10473
CVE-2019-10473
https://nvd.nist.gov/vuln/detail/CVE-2019-10473
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019