Arnaud Hã©Ritier

**Nome do software vulnerável e versões afetadas** Plugin Jenkins XebiaLabs XL Deploy, versões 10.0.1 e anteriores **Descrição** A ausência de uma verificação de permissão no plugin permite que invasores com permissão Geral/Leitura enumerem os IDs das credenciais armazenadas no Jenkins. Esse problema está relacionado a um método de validação de formulário que não realiza uma verificação de permissão, permitindo que invasores obtenham IDs de credenciais que podem ser usados como parte de um ataque para capturar as credenciais por meio de outra vulnerabilidade. **Recomendações** Para as versões 10.0.1 e anteriores do plugin Jenkins XebiaLabs XL Deploy, considere atualizar para uma versão que inclua as verificações de permissão necessárias para impedir a enumeração de IDs de credenciais. Como solução alternativa temporária, restrinja o acesso ao método de validação de formulários do plugin para minimizar o risco de exploração.