Jenkins · Jenkins Eiffel Broadcaster Plugin · CVE-2025-24400
**Nome do Software Vulnerável e Versões Afetadas**
Plugin Jenkins Eiffel Broadcaster versões 2.8.0 a 2.10.2
**Descrição**
A vulnerabilidade permite que atacantes criem uma credencial com o mesmo ID de uma credencial legítima em um armazenamento de credenciais diferente, permitindo-lhes assinar um evento publicado no RabbitMQ com as credenciais legítimas. Isso é possível porque o plugin utiliza o ID da credencial como chave de cache durante as operações de assinatura.
**Recomendações**
Para as versões 2.8.0 a 2.10.2, considere atualizar para a versão 2.10.3, que remove o cache, resolvendo assim a vulnerabilidade.
Como medida de contorno temporária, considere restringir o acesso ao armazenamento de credenciais para minimizar o risco de exploração.