2019-1183: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2019-06-12 19:16)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins Plugins ermöglichen einem entfernten, auch nicht authentifizierten Angreifer die Durchführung von Cross-Site-Request-Forgery (CSRF)-, Cross-Site-Scripting (XSS)- und Server-Side-Request-Forgery (SSRF)-Angriffen, das Ausspähen von Informationen, Bewirken eines Denial-of-Service (DoS)-Zustandes und das Umgehen von Sicherheitsvorkehrungen.

Als Sicherheitsupdates stehen die folgenden Plugin-Versionen bereit: CloudBees Flow Plugin 1.1.7, JX Resources Plugin 1.0.37 und Token Macro Plugin 2.8.

Schwachstellen:

CVE-2019-10331

Schwachstelle in CloudBees Flow Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10332

Schwachstelle in CloudBees Flow Plugin ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2019-10333

Schwachstelle in CloudBees Flow Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10334

Schwachstelle in CloudBees Flow Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-10335

Schwachstelle in CloudBees Flow Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10336

Schwachstelle in CloudBees Flow Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10337

Schwachstelle in Token Macro Plugin ermöglicht u. a. Server-Side-Request-Forgery-Angriff

CVE-2019-10338

Schwachstelle in JX Resources Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10339

Schwachstelle in JX Resources Plugin ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.