O Dynatrace Application Monitoring Plugin não realiza verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com acesso geral / de leitura ao Jenkins iniciem um teste de conexão com um servidor especificado pelo invasor com o nome de usuário e a senha especificados pelo invasor.
Tag: Jenkins Dynatrace Application Monitoring Plugin
ASA-2019-00602 – Jenkins Dynatrace Application Monitoring Plugin: Cross-Site Request Forgery
O Dynatrace Application Monitoring Plugin não exigiu solicitações POST em um método que implementa a validação de formulário. Essa vulnerabilidade de Cross Site Request Forgery (CSRF) permitiu que os invasores iniciassem um teste de conexão com um servidor especificado pelo invasor com nome de usuário e senha especificados pelo invasor.
ASA-2019-00601 – Jenkins Dynatrace Application Monitoring Plugin: Credenciais armazenadas em texto puro
O Dynatrace Application Monitoring Plugin armazena uma credencial não criptografada em seu arquivo de configuração global com.dynatrace.jenkins.dashboard.TAGlobalConfiguration.xml no Jenkins mestre. Essa credencial pode ser visualizada pelos usuários com acesso ao sistema de arquivo do mestre.