James Holderness

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Team Foundation Server, versões 5.157.1 e anteriores **Descrição** O problema diz respeito ao armazenamento de um segredo de webhook de forma não criptografada no arquivo de configuração global do controlador Jenkins. Especificamente, o segredo é armazenado no arquivo `hudson.plugins.tfs.TeamPluginGlobalConfig.xml`. Isso permite que invasores com acesso ao sistema de arquivos do controlador Jenkins visualizem o segredo. **Recomendações** Para as versões 5.157.1 e anteriores do plugin Jenkins Team Foundation Server, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exploração. Como solução temporária, restrinja o acesso ao arquivo `hudson.plugins.tfs.TeamPluginGlobalConfig.xml` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins HP ALM Quality Center, versões 1.6 e anteriores **Descrição** O problema diz respeito ao armazenamento de uma senha em texto simples no arquivo de configuração global, especificamente em `org.jenkinsci.plugins.qc.QualityCenterIntegrationRecorder.xml`, no servidor Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do mestre visualizem a senha. **Recomendações** Para o plugin Jenkins HP ALM Quality Center versões 1.6 e anteriores, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Copr, versões 0.3 e anteriores **Descrição** O problema diz respeito ao armazenamento de credenciais de forma não criptografada nos arquivos job.config.xml no servidor Jenkins. Essas credenciais podem ser acessadas por usuários com permissão de leitura estendida ou por aqueles que têm acesso ao sistema de arquivos do servidor. As credenciais são armazenadas como parte da configuração do plugin. **Recomendações** Para as versões 0.3 e anteriores do Jenkins Copr Plugin, atualize para a versão 0.6.1 ou posterior para garantir que as credenciais sejam armazenadas de forma criptografada. Como solução temporária, considere restringir o acesso ao sistema de arquivos do Jenkins master e limitar as permissões de Leitura Estendida para minimizar o risco de exposição das credenciais.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Artifactory versões 3.5.0 e anteriores **Descrição** O problema está relacionado ao armazenamento da senha do servidor Artifactory em texto simples no arquivo de configuração global. Isso permite que usuários com acesso ao sistema de arquivos do Jenkins master visualizem a senha. A vulnerabilidade pode ser explorada por um invasor remoto para obter credenciais. A senha é armazenada sem criptografia no arquivo `org.jfrog.hudson.ArtifactoryBuilder.xml`. **Recomendações** Para as versões 3.5.0 e anteriores do plugin Jenkins Artifactory, atualize para a versão 3.6.0 ou posterior, que armazena a senha do servidor Artifactory criptografada. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Artifactory, versões 3.6.0 e anteriores **Descrição** O problema está relacionado à transmissão de senhas configuradas em texto simples como parte do formulário de configuração global do Jenkins, o que pode resultar em sua exposição. Isso pode levar à exposição de senhas por meio de extensões de navegador, vulnerabilidades de cross-site scripting e situações semelhantes. A senha é armazenada criptografada no disco a partir do Artifactory Plugin 3.6.0, mas é transmitida em texto simples pelas versões 3.6.0 e anteriores. **Recomendações** Para as versões 3.6.0 e anteriores do Jenkins Artifactory Plugin, atualize para a versão 3.6.1 ou posterior, que transmite a senha em sua configuração global de forma criptografada. Como solução alternativa temporária, considere restringir o acesso ao formulário de configuração global para minimizar o risco de exploração. Evite usar o arquivo de configuração `org.jfrog.hudson.ArtifactoryBuilder.xml` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Logstash versões 2.3.1 e anteriores **Descrição** O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte do formulário de configuração global do Jenkins. Isso pode resultar na exposição dessas credenciais por diversos meios, como extensões de navegador ou vulnerabilidades de cross-site scripting. As credenciais são armazenadas criptografadas no disco, mas são transmitidas em texto simples pelas versões 2.3.1 e anteriores do Logstash Plugin. **Recomendações** Para as versões 2.3.1 e anteriores do plugin Jenkins Logstash, atualize para a versão 2.3.2 ou posterior, que transmite as credenciais criptografadas em sua configuração global. Como solução alternativa temporária, considere restringir o acesso ao formulário de configuração global para minimizar o risco de exposição das credenciais.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Zephyr Enterprise Test Management, versões 1.9.1 e anteriores **Descrição** O problema diz respeito ao armazenamento da senha do Zephyr em texto simples no sistema de arquivos do Jenkins master, especificamente no arquivo de configuração global `com.thed.zephyr.jenkins.reporter.ZeeReporter.xml`. Isso permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins visualizem a senha. **Recomendações** Para o Jenkins Zephyr Enterprise Test Management Plugin versões 1.9.1 e anteriores, atualize para a versão 1.10, que se integra ao Credentials Plugin para armazenar a senha do Zephyr de forma segura.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Quality Gates, versões 2.5 e anteriores **Descrição** O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte do formulário de configuração global do Jenkins. Isso pode resultar na exposição dessas credenciais. As credenciais são armazenadas criptografadas no disco no arquivo `quality.gates.jenkins.plugin.GlobalConfig.xml` no controlador do Jenkins, mas são transmitidas em texto simples como parte do formulário de configuração. Isso pode levar à exposição por meio de extensões de navegador, vulnerabilidades de cross-site scripting e situações semelhantes. **Recomendações** Para as versões 2.5 e anteriores do Jenkins Quality Gates Plugin, considere atualizar para uma versão que corrija este problema, já que a versão atual transmite credenciais em texto simples. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins OpenShift Deployer, versões 1.2.0 e anteriores **Descrição** O problema está relacionado à transmissão de credenciais configuradas em texto simples como parte do formulário de configuração global do Jenkins. Isso pode resultar na exposição dessas credenciais. As credenciais são armazenadas criptografadas no disco no arquivo `org.jenkinsci.plugins.openshift.DeployApplication.xml` no controlador do Jenkins, mas são transmitidas em texto simples como parte do formulário de configuração. Isso pode levar à exposição por meio de extensões de navegador, vulnerabilidades de cross-site scripting e situações semelhantes. **Recomendações** Para as versões 1.2.0 e anteriores do plugin Jenkins OpenShift Deployer, considere desativar a transmissão de credenciais em texto simples como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao formulário de configuração global do Jenkins para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins DeployHub, versões 8.0.14 e anteriores **Descrição** O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte dos formulários de configuração de tarefas, o que pode resultar em sua exposição. As credenciais são armazenadas criptografadas no disco em arquivos `config.xml`, mas são transmitidas em texto simples pelo plugin DeployHub. Isso poderia permitir que usuários com permissão de leitura estendida visualizassem essas credenciais. **Recomendações** Para as versões 8.0.14 e anteriores do plugin Jenkins DeployHub, considere restringir o acesso aos formulários de configuração de tarefas para minimizar o risco de exposição das credenciais. Como solução temporária, limite as permissões dos usuários para impedir que aqueles com permissão de Leitura Estendida acessem informações confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Repository Connector, versões 1.2.6 e anteriores **Descrição** O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte do formulário de configuração global do Jenkins. Embora as credenciais sejam armazenadas criptografadas no disco no arquivo `org.jvnet.hudson.plugins.repositoryconnector.RepositoryConfiguration.xml` no controlador do Jenkins, elas são enviadas em texto simples quando o formulário de configuração é transmitido. Isso pode levar à exposição das credenciais por diversos meios, incluindo extensões de navegador e vulnerabilidades de cross-site scripting. **Recomendações** Para as versões 1.2.6 e anteriores do plugin Jenkins Repository Connector, considere atualizar para uma versão que corrija este problema, pois a versão atual transmite credenciais em texto simples. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Sonar Quality Gates, versões 1.3.1 e anteriores **Descrição** O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte do formulário de configuração global do Jenkins, o que pode resultar em sua exposição. As credenciais são armazenadas criptografadas no disco no arquivo `org.quality.gates.jenkins.plugin.GlobalConfig.xml` no controlador do Jenkins, mas são enviadas em texto simples como parte do formulário de configuração. Isso pode levar à exposição das credenciais por meio de extensões de navegador, vulnerabilidades de cross-site scripting ou situações semelhantes. **Recomendações** Para as versões 1.3.1 e anteriores do Jenkins Sonar Quality Gates Plugin, considere atualizar para uma versão em que este problema esteja resolvido, já que a versão atual transmite credenciais em texto simples. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Skytap Cloud CI, versões 2.07 e anteriores **Descrição** O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte dos formulários de configuração de tarefas, o que pode resultar na exposição dessas credenciais. As credenciais são armazenadas criptografadas no disco em arquivos `config.xml`, mas são transmitidas em texto simples pelo plugin. Isso poderia permitir que usuários com permissão de leitura estendida visualizassem essas credenciais. **Recomendações** Para o Jenkins Skytap Cloud CI Plugin versões 2.07 e anteriores, considere atualizar para uma versão que corrija esse problema, já que a versão atual transmite credenciais em texto simples. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Backlog, versões 2.4 e anteriores **Descrição** O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte dos formulários de configuração de tarefas, o que pode resultar na exposição dessas credenciais. As credenciais são armazenadas criptografadas no disco, mas são transmitidas em texto simples como parte do formulário de configuração. Essas credenciais podem ser visualizadas por usuários com permissão de leitura estendida. **Recomendações** Para as versões 2.4 e anteriores do Jenkins Backlog Plugin, considere atualizar para uma versão que corrija este problema, já que a versão atual transmite credenciais em texto simples. Como solução temporária, considere restringir o acesso aos formulários de configuração de tarefas para minimizar o risco de exposição das credenciais. Restrinja o acesso de usuários com permissão de Leitura Estendida a configurações confidenciais de tarefas para impedir a possível visualização das credenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Applatix, versões 1.1 e anteriores **Descrição** A vulnerabilidade permite o acesso não autorizado a senhas não criptografadas armazenadas nos arquivos job.config.xml no servidor Jenkins. Usuários com permissão de leitura estendida ou acesso ao sistema de arquivos do servidor podem visualizar essas senhas. **Recomendações** Para o plugin Jenkins Applatix versões 1.1 e anteriores, atualize para uma versão que criptografe corretamente as senhas para impedir o acesso não autorizado.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Parasoft Environment Manager, versões 2.14 e anteriores **Descrição** A vulnerabilidade permite o acesso não autorizado a senhas não criptografadas armazenadas nos arquivos job config.xml no servidor Jenkins. Usuários com permissão de leitura estendida ou acesso ao sistema de arquivos do servidor podem visualizar essas senhas. **Recomendações** Para o plugin Jenkins Parasoft Environment Manager nas versões 2.14 e anteriores, atualize para uma versão posterior à 2.14 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Harvest SCM, versões 0.5.1 e anteriores **Descrição** O problema diz respeito ao armazenamento de senhas de forma não criptografada no arquivo de configuração global do Jenkins master. Isso permite que usuários com acesso ao sistema de arquivos do master visualizem essas senhas. Especificamente, as senhas são armazenadas nos arquivos `hudson.plugins.harvest.HarvestSCM.xml` e `config.xml` de tarefas no controlador do Jenkins. Usuários com permissão de leitura estendida podem visualizar as credenciais nos arquivos `config.xml` de tarefas, enquanto aqueles com acesso ao sistema de arquivos do controlador do Jenkins podem visualizar as credenciais em ambos os arquivos. **Recomendações** Para as versões 0.5.1 e anteriores do plugin Jenkins Harvest SCM, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins e aos arquivos `config.xml` das tarefas para minimizar o risco de exploração. Como solução temporária, limite o uso dos arquivos `hudson.plugins.harvest.HarvestSCM.xml` e `config.xml` das tarefas até que um método seguro de armazenamento de senhas seja implementado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Harvest SCM, versões 0.5.1 e anteriores **Descrição** A vulnerabilidade permite que senhas sejam armazenadas sem criptografia nos arquivos config.xml das tarefas no servidor Jenkins. Essas senhas podem ser visualizadas por usuários com permissão de leitura estendida ou por aqueles que tenham acesso ao sistema de arquivos do servidor. **Recomendações** Para as versões 0.5.1 e anteriores do Jenkins Harvest SCM Plugin, atualize para uma versão posterior à 0.5.1 para garantir que as senhas sejam armazenadas com segurança. Como solução temporária, considere restringir o acesso ao sistema de arquivos do mestre e limitar as permissões de Leitura Estendida para minimizar o risco de exposição das senhas.

**Nome do software vulnerável e versões afetadas** Jenkins BMC Release Package e Deployment Plugin, versões 1.1 e anteriores **Descrição** A vulnerabilidade permite que credenciais sejam armazenadas sem criptografia no arquivo de configuração global do Jenkins master. Essas informações podem ser visualizadas por usuários com acesso ao sistema de arquivos do master. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para o Jenkins BMC Release Package e o Deployment Plugin nas versões 1.1 e anteriores, como solução temporária, considere restringir o acesso ao arquivo de configuração global no Jenkins master para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Debian Package Builder, versões 1.6.11 e anteriores **Descrição** O problema diz respeito ao armazenamento de uma senha GPG de forma não criptografada no arquivo de configuração global no Jenkins master ou no controlador. Esse arquivo pode ser acessado por usuários com privilégios no sistema de arquivos do master ou do controlador, expondo potencialmente a credencial. O arquivo de configuração específico afetado é `ru.yandex.jenkins.plugins.debuilder.DebianPackageBuilder.xml`. **Recomendações** Para as versões 1.6.11 e anteriores do plugin Jenkins Debian Package Builder, considere restringir o acesso ao sistema de arquivos do Jenkins master ou controller para minimizar o risco de a senha GPG ser visualizada por usuários não autorizados. Como solução temporária, limite os privilégios dos usuários que têm acesso ao sistema de arquivos do master ou controller. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.