ASA-2019-00614 – Jenkins Global Post Script Plugin: Verificações de Permissão Ausentes


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00614

Identificador(es)

ASA-2019-00614, CVE-2019-10474, SECURITY-1073

Título

Verificações de Permissão Ausentes

Fabricante(s)

Hao CHEN

Produto(s)

Jenkins Global Post Script Plugin

Versão(ões) afetada(s)

Jenkins Global Post Script Plugin versões até e incluindo 1.1.4

Versão(ões) corrigida(s)

Desconhecido

Prova de Conceito

Desconhecido

Descrição

Jenkins Libvirt Slaves Plugin não executa verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com permissão Geral/Leitura listem os arquivos contidos em $JENKINS_HOME/global-post-script que podem ser usados pelo plugin.

Detalhes técnicos

Desconhecido

Créditos

Oleg Nenashev (CloudBees, Inc)

Referência(s)

Jenkins Security Advisory 2019-10-23
https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1073

Jenkins security advisory
https://groups.google.com/d/msg/jenkinsci-advisories/KCv6eDsiV3Y/GNr0aDC3AQAJ

oss-security – Multiple vulnerabilities in Jenkins plugins
https://www.openwall.com/lists/oss-security/2019/10/23/2

Jenkins Plugins
https://plugins.jenkins.io/global-post-script

CVE-2019-10474
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10474

CVE-2019-10474
https://nvd.nist.gov/vuln/detail/CVE-2019-10474

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.