Ethorsa

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Artifactory, versões 3.6.0 e anteriores **Descrição** O problema está relacionado à transmissão de senhas configuradas em texto simples como parte do formulário de configuração global do Jenkins, o que pode resultar em sua exposição. Isso pode levar à exposição de senhas por meio de extensões de navegador, vulnerabilidades de cross-site scripting e situações semelhantes. A senha é armazenada criptografada no disco a partir do Artifactory Plugin 3.6.0, mas é transmitida em texto simples pelas versões 3.6.0 e anteriores. **Recomendações** Para as versões 3.6.0 e anteriores do Jenkins Artifactory Plugin, atualize para a versão 3.6.1 ou posterior, que transmite a senha em sua configuração global de forma criptografada. Como solução alternativa temporária, considere restringir o acesso ao formulário de configuração global para minimizar o risco de exploração. Evite usar o arquivo de configuração `org.jfrog.hudson.ArtifactoryBuilder.xml` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Artifactory versões 3.5.0 e anteriores **Descrição** O problema está relacionado ao armazenamento da senha do servidor Artifactory em texto simples no arquivo de configuração global. Isso permite que usuários com acesso ao sistema de arquivos do Jenkins master visualizem a senha. A vulnerabilidade pode ser explorada por um invasor remoto para obter credenciais. A senha é armazenada sem criptografia no arquivo `org.jfrog.hudson.ArtifactoryBuilder.xml`. **Recomendações** Para as versões 3.5.0 e anteriores do plugin Jenkins Artifactory, atualize para a versão 3.6.0 ou posterior, que armazena a senha do servidor Artifactory criptografada. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exploração.