Bram Mertens

**Nome do software vulnerável e versões afetadas** Plugin Jenkins S3 Explorer, versões 1.0.8 e anteriores **Descrição** A vulnerabilidade diz respeito ao plugin Jenkins S3 Explorer, no qual o campo de formulário `AWS SECRET ACCESS KEY` não é mascarado, aumentando o risco de invasores observarem e capturarem esse dado. Essa chave secreta é armazenada criptografada no disco, no arquivo `s3explorer.xml`, no controlador do Jenkins, como parte de sua configuração. No entanto, nas versões 1.0.8 e anteriores, o formulário de configuração global não oculta o campo `AWS SECRET ACCESS KEY`. **Recomendações** Para as versões 1.0.8 e anteriores do plugin Jenkins S3 Explorer, considere desativar o plugin até que um patch esteja disponível para impedir que possíveis invasores observem e capturem o `AWS SECRET ACCESS KEY`. Restrinja o acesso ao formulário de configuração global para minimizar o risco de exploração. Evite usar o campo de formulário `AWS SECRET ACCESS KEY` no plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.