Marc Heyries

**Name of the Vulnerable Software and Affected Versions** Jenkins MSTest Plugin version 1.0.0 and earlier **Description** The issue is related to the configuration of the XML parser, which does not prevent XML external entity (XXE) attacks. **Recommendations** For Jenkins MSTest Plugin version 1.0.0 and earlier, update to a version that configures its XML parser to prevent XXE attacks.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins BigPanda Notifier, versões 1.4.0 e anteriores **Descrição** O problema diz respeito ao armazenamento e à exibição da chave da API do BigPanda na configuração do plugin. A chave da API do BigPanda é armazenada sem criptografia no arquivo `BigpandaGlobalNotifier.xml` no controlador do Jenkins. Essa chave pode ser acessada por usuários com acesso ao sistema de arquivos do controlador do Jenkins. Além disso, o formulário de configuração global não oculta a chave da API, possibilitando que invasores a observem e capturem. **Recomendações** Para as versões 1.4.0 e anteriores do plugin Jenkins BigPanda Notifier, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins para minimizar o risco de a chave da API ser visualizada. Como solução temporária, criptografe manualmente e armazene com segurança a chave API do BigPanda até que um patch esteja disponível. Evite usar o formulário de configuração global do plugin para inserir a chave API até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins BigPanda Notifier, versões 1.4.0 e anteriores **Descrição** O problema diz respeito ao armazenamento da chave API do BigPanda de forma não criptografada no arquivo de configuração global no controlador do Jenkins. Esse arquivo pode ser acessado por usuários com permissão para acessar o sistema de arquivos do controlador do Jenkins. O formulário de configuração global também não oculta a chave API, permitindo potencialmente que invasores a observem e capturem. A chave é armazenada no arquivo `BigpandaGlobalNotifier.xml` como parte da configuração do plugin. **Recomendações** Para as versões 1.4.0 e anteriores do plugin Jenkins BigPanda Notifier, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de a chave API ser visualizada por usuários não autorizados. Como solução temporária, limite o acesso ao arquivo `BigpandaGlobalNotifier.xml` até que um patch esteja disponível. Além disso, evite exibir a chave API no formulário de configuração global para impedir que ela seja observada e capturada por invasores. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Autocomplete Parameter, versões 1.1 e anteriores **Descrição** Uma vulnerabilidade do tipo falsificação de solicitação entre sites (CSRF) permite que invasores executem código arbitrário sem a proteção da sandbox, caso a vítima seja um administrador. **Recomendações** Para o Jenkins Autocomplete Parameter Plugin versões 1.1 e anteriores, atualize para uma versão que corrija este problema para impedir a execução de código arbitrário. Como solução temporária, considere restringir o acesso às funções administrativas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Publish Over FTP, versões 1.16 e anteriores **Descrição** Uma vulnerabilidade do tipo falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a um servidor FTP utilizando credenciais especificadas por eles. **Recomendações** Para o plugin Jenkins Publish Over FTP nas versões 1.16 e anteriores, atualize para uma versão posterior à 1.16 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Publish Over FTP, versões 1.16 e anteriores **Descrição** O problema está relacionado à falta de verificações de permissão no plugin Jenkins Publish Over FTP, o que permite que invasores com permissão de acesso total/leitura se conectem a um servidor FTP usando credenciais especificadas pelo invasor. **Recomendações** Para as versões 1.16 e anteriores do plugin Jenkins Publish Over FTP, atualize para a versão 1.17 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao plugin para usuários com permissão Geral/Leitura, a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins RocketChat Notifier, versões 1.4.10 e anteriores **Descrição** A ausência de uma verificação de permissão no plugin Jenkins RocketChat Notifier permite que invasores com permissão “Overall/Read” se conectem a uma URL especificada pelo invasor usando credenciais fornecidas por ele. Esse problema também resulta em uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) devido à falta de exigência de solicitações POST no método de validação de formulário. **Recomendações** Para as versões 1.4.10 e anteriores do plugin Jenkins RocketChat Notifier, atualize para a versão 1.5.0 ou posterior, que exige solicitações POST e permissão Geral/Administrar para o método de validação de formulário afetado, mitigando assim o problema.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Proxmox versões 0.5.0 e anteriores **Descrição** O problema diz respeito ao armazenamento da senha do Proxmox Datacenter de forma não criptografada no arquivo global config.xml no controlador do Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins visualizem a senha. **Recomendações** Para as versões 0.5.0 e anteriores do plugin Jenkins Proxmox, considere restringir o acesso ao arquivo global config.xml no controlador Jenkins para minimizar o risco de exposição da senha até que uma correção esteja disponível. Como solução temporária, limite o acesso dos usuários ao sistema de arquivos do controlador Jenkins para impedir a visualização não autorizada da senha do Proxmox Datacenter.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins RocketChat Notifier, versões 1.4.10 e anteriores **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a uma URL especificada por eles usando credenciais fornecidas por eles. Esse problema ocorre porque o plugin não realiza uma verificação de permissão em um método que implementa a validação de formulários, permitindo que invasores com permissão Geral/Leitura explorem a vulnerabilidade. Além disso, o método de validação de formulários não exige solicitações POST, o que contribui para a vulnerabilidade CSRF. **Recomendações** Para as versões 1.4.10 e anteriores do plugin Jenkins RocketChat Notifier, atualize para a versão 1.5.0, que exige solicitações POST e permissão Geral/Administração para o método de validação de formulário afetado, mitigando assim o problema. Como solução alternativa temporária, considere restringir o acesso ao método de validação de formulário a usuários com permissão Geral/Administração até que a atualização para a versão 1.5.0 seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin de autenticação do Jenkins para GitLab, versões 1.13 e anteriores **Descrição** O problema diz respeito ao armazenamento do segredo do cliente GitLab de forma não criptografada no arquivo global config.xml do controlador do Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins visualizem o segredo do cliente. **Recomendações** Para as versões 1.13 e anteriores do Plugin de Autenticação GitLab do Jenkins, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins para minimizar o risco de o segredo do cliente ser visualizado por usuários não autorizados. Como solução temporária, considere criptografar manualmente o segredo do cliente GitLab até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Publish Over SSH, versões 1.22 e anteriores **Descrição** A vulnerabilidade permite que senhas sejam armazenadas sem criptografia no arquivo de configuração global do controlador do Jenkins. Essas senhas podem ser visualizadas por usuários com acesso ao sistema de arquivos do controlador do Jenkins. **Recomendações** Para o plugin Jenkins Publish Over SSH nas versões 1.22 e anteriores, considere atualizar para uma versão que criptografe adequadamente as senhas no arquivo de configuração global para impedir o acesso não autorizado. Como solução temporária, restrinja o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição das senhas.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Publish Over SSH, versões 1.22 e anteriores **Descrição** A vulnerabilidade permite que invasores com permissão de Item/Configure descubram o nome dos arquivos do controlador do Jenkins devido a uma vulnerabilidade de traversal de caminho. Isso ocorre porque o plugin realiza uma validação do nome do arquivo, verificando se ele está presente ou não. **Recomendações** Para o plugin Jenkins Publish Over SSH nas versões 1.22 e anteriores, atualize para uma versão posterior à 1.22 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de validação de arquivos do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Publish Over SSH, versões 1.22 e anteriores **Descrição** A ausência de uma verificação de permissão no plugin permite que invasores com acesso geral/leitura se conectem a um servidor SSH especificado pelo invasor, utilizando credenciais fornecidas por ele. **Recomendações** Para o plugin Jenkins Publish Over SSH versões 1.22 e anteriores, atualize para uma versão posterior à 1.22 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso geral/de leitura para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Publish Over SSH, versões 1.22 e anteriores **Descrição** Uma vulnerabilidade do tipo falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a um servidor SSH especificado por eles, utilizando credenciais fornecidas pelos próprios invasores. **Recomendações** Para as versões 1.22 e anteriores do plugin Jenkins Publish Over SSH, considere desativar o plugin até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso à configuração do servidor SSH para minimizar o risco de conexões não autorizadas.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Selenium HTML Report, versões 1.0 e anteriores **Descrição** O problema decorre do fato de o plugin não configurar seu analisador XML para impedir ataques de entidade externa XML (XXE), permitindo que invasores capazes de controlar os arquivos de relatório analisados por este plugin criem um arquivo de relatório que utilize entidades externas. Isso pode levar à extração de segredos do controlador do Jenkins ou à falsificação de solicitações do lado do servidor. **Recomendações** Para o plugin Jenkins Selenium HTML Report nas versões 1.0 e anteriores, atualize para a versão 1.1 ou posterior, que desativa a resolução de entidades externas para seu analisador XML.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Generic Webhook Trigger, versões 1.72 e anteriores **Descrição** A vulnerabilidade permite que invasores façam com que o Jenkins analise um corpo de solicitação XML malicioso que utiliza entidades externas para extrair segredos do controlador do Jenkins ou para falsificação de solicitações no lado do servidor. Isso ocorre porque o analisador XML não está configurado para impedir ataques de entidade externa XML (XXE). Invasores com a capacidade de chamar webhooks configurados para extrair parâmetros usando XPath podem explorar essa vulnerabilidade. **Recomendações** Para o Jenkins Generic Webhook Trigger Plugin versões 1.72 e anteriores, atualize para a versão 1.74 ou posterior, que desativa a resolução de entidades externas para seu analisador XML.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins P4, versões 1.11.4 e anteriores **Descrição** A vulnerabilidade permite que invasores com permissão Overall/Read se conectem a um servidor Perforce especificado pelo invasor, utilizando um `username` e uma `password` especificados por ele. Isso se deve à ausência de verificações de permissão em vários pontos de extremidade HTTP. **Recomendações** Para as versões 1.11.4 e anteriores do plugin Jenkins P4, atualize para a versão 1.11.5 ou posterior, que exige permissão Geral/Administração para os pontos de extremidade HTTP afetados.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins P4, versões 1.11.4 e anteriores **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a um servidor Perforce especificado por eles, utilizando um `nome de usuário` e uma `senha` também especificados por eles. O problema foi corrigido na versão 1.11.5, que exige solicitações POST para os pontos de extremidade HTTP afetados. **Recomendações** Para as versões 1.11.4 e anteriores do plugin Jenkins P4, atualize para a versão 1.11.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade HTTP afetados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Extra Columns, versões 1.22 e anteriores **Descrição** A falha resulta em uma vulnerabilidade de script entre sites (XSS) armazenada, devido ao plugin não escapar os valores dos parâmetros na coluna de parâmetros de compilação. Essa vulnerabilidade pode ser explorada por invasores com permissão de Job/Configure. Além disso, para uma visualização que contenha tal tarefa, o invasor precisa que a coluna de parâmetros de compilação esteja configurada ou que possua permissão de Visualização/Configuração. **Recomendações** Para o plugin Jenkins Extra Columns nas versões 1.22 e anteriores, atualize para a versão 1.23 ou posterior, que escapa os valores dos parâmetros na coluna de parâmetros de compilação, para resolver o problema.