2019-1802: Jenkins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2019-08-29 18:45)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in Jenkins ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Request-Forgery (CSRF)-Angriffs und das Ausspähen sensibler Informationen. Zwei weitere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer die Durchführung eines Stored Cross-Site-Scripting (XSS)-Angriffs und die Ausführung beliebigen Programmcodes.

Der Hersteller bestätigt die Schwachstellen und stellt die Versionen Jenkins Weekly 2.192, Jenkins LTS 2.176.3, IBM Application Security on Cloud Plugin 1.2.5 und Splunk Plugin 1.8.0 zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2019-10383

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10384

Schwachstelle in Jenkins ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10390

Schwachstelle in Splunk Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-10391

Schwachstelle in IBM Application Security on Cloud Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.