Jason Stangroome

Nome do software vulnerável e versões afetadas: Plugin Jenkins Plain Credentials, versões 182.v468b 97b 9dcb 8 e anteriores Descrição: O problema está relacionado ao armazenamento de credenciais em arquivos secretos pelo Jenkins Plain Credentials Plugin. Em casos raros, o plugin armazena essas credenciais sem criptografia, apenas codificadas em Base64, no sistema de arquivos do controlador do Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins ou com permissão de leitura de itens/estendida visualizem as credenciais. A exploração dessa vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Recomendações: Para as versões 182.v468b 97b 9dcb 8 e anteriores do Jenkins Plain Credentials Plugin, atualize para a versão 183.va de8f1dd5a 2b ou posterior, que não tenta mais descriptografar o conteúdo do arquivo ao criar credenciais de arquivos secretos, resolvendo assim a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar a permissão de leitura de itens/estendida para minimizar o risco de exploração.