Jenkins build-metrics Plugin não escapa adequadamente o parâmetro de consulta do rótulo, resultando em uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido.
Tag: Jenkins
ASA-2019-00614 – Jenkins Global Post Script Plugin: Verificações de Permissão Ausentes
Jenkins Libvirt Slaves Plugin não executa verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com permissão Geral/Leitura listem os arquivos contidos em $JENKINS_HOME/global-post-script que podem ser usados pelo plugin.
ASA-2019-00613 – Jenkins Libvirt Slaves Plugin: Usuários com acesso Geral/Leitura podem enumerar IDs credenciais
O plugin Jenkins Libvirt Slaves fornece uma lista de IDs de credenciais aplicáveis para permitir que os usuários que configuram o plugin selecionem o que usar. Essa funcionalidade não verifica corretamente as permissões, permitindo que qualquer usuário com permissão Geral/Leitura obtenha uma lista de IDs de credenciais válidas. Elas podem ser usados como parte de um ataque para capturar as credenciais usando outra vulnerabilidade.
ASA-2019-00612 – Jenkins Libvirt Slaves Plugin: Verificações de Permissão Ausentes
O plugin Jenkins Libvirt Slaves não realiza verificações de permissão em um método que implementa a validação de formulário. Isso permite que os usuários com acesso Geral/ Leitura ao Jenkins se conectem a um servidor SSH especificado pelo atacante usando IDs de credenciais especificadas pelo atacante obtidas por outro método, capturando credenciais armazenadas no Jenkins.
ASA-2019-00611 – Jenkins Libvirt Slaves Plugin: Cross-Site Request Forgery (CSRF)
O método de validação de formulário não requer solicitações POST, resultando em uma vulnerabilidade de Cross-Site Request Forgery (CSRF).