Adith Sudhakar

**Nome do software vulnerável e versões afetadas** Plugin Jenkins pom2config, versões 1.2 e anteriores **Descrição** A vulnerabilidade permite que invasores com permissões de nível geral (Overall/Read) e de item (Item/Read) façam com que o Jenkins analise um arquivo XML malicioso que utiliza entidades externas para extrair segredos do controlador do Jenkins ou para falsificação de solicitações no lado do servidor. Isso ocorre porque o plugin não configura seu analisador XML para impedir ataques de entidade externa XML (XXE). **Recomendações** Para o plugin Jenkins pom2config versões 1.2 e anteriores: no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução temporária, considere restringir o acesso ao plugin ou desativar o analisador XML para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin de desempenho do Jenkins, versões 3.20 e anteriores **Descrição** O problema está relacionado ao fato de o analisador XML não estar configurado para impedir ataques de entidade externa XML (XXE). Isso permite que invasores capazes de controlar o conteúdo da área de trabalho façam com que o Jenkins analise um arquivo de relatório XML malicioso, o que pode levar à extração de segredos do controlador do Jenkins ou à falsificação de solicitações do lado do servidor. **Recomendações** Para as versões 3.20 e anteriores do Jenkins Performance Plugin, como solução temporária, considere desativar o analisador XML até que um patch esteja disponível. Restrinja o acesso ao conteúdo do espaço de trabalho para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Brakeman, versões 0.12 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) armazenada. Ela ocorre porque o plugin não escapa os valores recebidos de arquivos JSON analisados ao renderizá-los. Essa vulnerabilidade pode ser explorada por usuários capazes de controlar os dados de entrada da etapa pós-compilação do Brakeman. **Recomendações** Para as versões 0.12 e anteriores do plugin Jenkins Brakeman, atualize para a versão 0.13 ou posterior para resolver o problema. Observe que a correção na versão 0.13 se aplica apenas aos dados recém-registrados após a instalação do plugin atualizado, e os dados históricos ainda podem conter valores inseguros. Como solução alternativa temporária, considere restringir o acesso aos dados de entrada da etapa pós-compilação do Brakeman para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: Jenkins CCM Plugin versions 3.1 and earlier Description: The issue allows attackers with user permissions in Jenkins to extract secrets from the Jenkins master, perform server-side request forgery, or denial-of-service attacks by processing XML external entities in files it parses as part of the build process. Recommendations: For Jenkins CCM Plugin versions 3.1 and earlier, update to a version later than 3.1 to resolve the issue.

Name of the Vulnerable Software and Affected Versions: Jenkins Android Lint Plugin versions 2.5 and earlier Description: The issue allows attackers with user permissions to extract secrets from the Jenkins master, perform server-side request forgery, or denial-of-service attacks by processing XML external entities in files it parses as part of the build process. Recommendations: For versions 2.5 and earlier, update to a version later than 2.5 to resolve the issue.

Name of the Vulnerable Software and Affected Versions: Jenkins Warnings Plugin versions 4.64 and earlier Description: The issue allows attackers with user permissions in Jenkins to extract secrets from the Jenkins master, perform server-side request forgery, or denial-of-service attacks by processing XML external entities in files it parses as part of the build process. Recommendations: For Jenkins Warnings Plugin versions 4.64 and earlier, update to a version later than 4.64 to resolve the issue.

Name of the Vulnerable Software and Affected Versions: Jenkins PMD Plugin versions 3.49 and earlier Description: The issue allows attackers with user permissions to extract secrets from the Jenkins master, perform server-side request forgery, or denial-of-service attacks by processing XML external entities in files it parses as part of the build process. Recommendations: For Jenkins PMD Plugin versions 3.49 and earlier, update to a version later than 3.49 to resolve the issue.

Name of the Vulnerable Software and Affected Versions: Jenkins Checkstyle Plugin versions 3.49 and earlier Description: The issue allows attackers with user permissions in Jenkins to extract secrets from the Jenkins master, perform server-side request forgery, or denial-of-service attacks by processing XML external entities in files it parses as part of the build process. Recommendations: For Jenkins Checkstyle Plugin versions 3.49 and earlier, update to a version later than 3.49 to resolve the issue.

Name of the Vulnerable Software and Affected Versions: Jenkins DRY Plugin versions 2.49 and earlier Description: The issue allows attackers with user permissions in Jenkins to extract secrets from the Jenkins master, perform server-side request forgery, or denial-of-service attacks by processing XML external entities in files it parses as part of the build process. Recommendations: For Jenkins DRY Plugin versions 2.49 and earlier, update to a version later than 2.49 to resolve the issue.

Name of the Vulnerable Software and Affected Versions: Jenkins FindBugs Plugin versions 4.71 and earlier Description: The issue allows attackers with user permissions in Jenkins to extract secrets from the Jenkins master, perform server-side request forgery, or denial-of-service attacks by processing XML external entities in files it parses as part of the build process. Recommendations: For Jenkins FindBugs Plugin versions 4.71 and earlier, update to a version later than 4.71 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Monit versions prior to 5.20.0 **Description** The issue allows for a cross-site request forgery attack. Successful exploitation enables an attacker to disable or enable all monitoring for a particular host or disable or enable monitoring for a specific service. **Recommendations** For versions prior to 5.20.0, update to version 5.20.0 or later to resolve the issue.