ASA-2019-00605 – Jenkins Deploy WebLogic Plugin: Verificação de permissão ausente

O Deploy WebLogic Plugin não executa verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com acesso Overall/Read ao Jenkins enviem requisição HTTP HEAD para uma URL especificada pelo usuário ou confirme a existência de qualquer arquivo ou diretório no Jenkins master.

ASA-2019-00603 – Jenkins Dynatrace Application Monitoring Plugin: Verificação de permissão ausente

O Dynatrace Application Monitoring Plugin não realiza verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com acesso geral / de leitura ao Jenkins iniciem um teste de conexão com um servidor especificado pelo invasor com o nome de usuário e a senha especificados pelo invasor.

ASA-2019-00602 – Jenkins Dynatrace Application Monitoring Plugin: Cross-Site Request Forgery

O Dynatrace Application Monitoring Plugin não exigiu solicitações POST em um método que implementa a validação de formulário. Essa vulnerabilidade de Cross Site Request Forgery (CSRF) permitiu que os invasores iniciassem um teste de conexão com um servidor especificado pelo invasor com nome de usuário e senha especificados pelo invasor.

ASA-2019-00601 – Jenkins Dynatrace Application Monitoring Plugin: Credenciais armazenadas em texto puro

O Dynatrace Application Monitoring Plugin armazena uma credencial não criptografada em seu arquivo de configuração global com.dynatrace.jenkins.dashboard.TAGlobalConfiguration.xml no Jenkins mestre. Essa credencial pode ser visualizada pelos usuários com acesso ao sistema de arquivo do mestre.