DFN-CERT

Advisory-Archiv

2019-1422: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2019-07-12 17:24)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins Plugins ermöglichen einem entfernten, einfach oder mit erweiterten Privilegien authentisierten Angreifer das Ausspähen von Informationen sowie einen Cross-Site-Request-Forgery (XSRF)-Angriff. Zwei weitere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting (CSS)-Angriffen

Als Sicherheitsupdates stehen die folgenden Plugin-Versionen bereit: Docker Plugin 1.1.7, Embeddable Build Status Plugin 2.0.2, Gogs Plugin 1.0.15 und Token Mashup Portlets Plugin 1.1.0. Für die von den Schwachstellen CVE-2019-10349, CVE-2019-10350 und CVE-2019-10351 betroffenen Jenkins Plugins Caliper CI Plugin, Dependency Graph Viewer Plugin und Port Allocator Plugin stehen zur Zeit noch keine Sicherheitsupdates bereit, um diese Schwachstellen zu beheben.

Schwachstellen:

CVE-2019-10340

Schwachstelle in Docker Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10341

Schwachstelle in Docker Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10342

Schwachstelle in Docker Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10346

Schwachstelle in Embeddable Build Status Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10347

Schwachstelle in Mashup Portlets Plugin ermöglicht Ausspähen von Information

CVE-2019-10348

Schwachstelle in Gogs Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10349

Schwachstelle in Dependency Graph Viewer Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10350

Schwachstelle in Jenkins Port Allocator Plugin ermöglicht Ausspähen von Informationen

CVE-2019-10351

Schwachstelle in Caliper CI Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.