DFN-CERT

Advisory-Archiv

2019-1115: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-06-03 19:27)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins Plugins ermöglichen einem entfernten, einfach authentifizierten Angreifer Cross-Site-Request-Forgery (CSRF)-, Cross-Site-Scripting (XSS)- und XML-External-Entity (XXE)-Angriffe, das Ausspähen von Informationen und das Umgehen von Sicherheitsvorkehrungen. Ein entfernter, nicht authentisierter Angreifer kann weitere CSRF-Angriffe durchführen und seine Privilegien eskalieren.

Als Sicherheitsupdates stehen die folgenden Pluginversionen bereit: Gitea Plugin 1.1.2, InfluxDB Plugin 1.22, Pipeline Maven Integration Plugin 3.7.1, Pipeline Remote Loader Plugin 1.5 und Warnings Next Generation Plugin 5.1.0.

Zur Behebung der insgesamt vier Schwachstellen im Artifactory Plugin steht derzeit kein Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2019-10321 CVE-2019-10322

Schwachstellen in Artifactory Plugin ermöglichen Cross-Site-Request-Forgery-Angriff und Ausspähen von Informationen

CVE-2019-10323

Schwachstelle in Artifactory Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10324

Schwachstelle in Artifactory Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10325

Schwachstelle in Warnings Next Generation Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10326

Schwachstelle in Warnings Next Generation Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10327

Schwachstelle in Pipeline Maven Integration Plugin ermöglicht XML-External-Entity-Angriff

CVE-2019-10328

Schwachstelle in Pipeline Remote Loader Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-10329

Schwachstelle in InfluxDB Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10330

Schwachstelle in Gitea Plugin ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.