Markus Winter

**Name of the Vulnerable Software and Affected Versions** Jenkins versions 2.393 and earlier Jenkins LTS versions 2.375.3 and earlier Jenkins versions prior to LTS 2.387.1 **Description** The issue allows attackers with Item/Workspace permission to access the contents of temporary directories related to job workspaces. These temporary directories are used by Jenkins to store temporary files related to the build and may contain credentials stored by Jenkins-controlled processes. **Recommendations** For Jenkins versions 2.393 and earlier, consider updating to version 2.394 or later. For Jenkins LTS versions 2.375.3 and earlier, consider updating to version 2.375.4 or later. For versions prior to LTS 2.387.1, consider updating to version LTS 2.387.1 or later. As a temporary workaround, do not grant Item/Workspace permission to users who lack Item/Configure permission.

**Nome do software vulnerável e versões afetadas** Plugin Project Inheritance do Jenkins, versões 21.04.03 e anteriores Plugin Project Inheritance do Jenkins, versão 19.08.02 e anteriores **Descrição** A vulnerabilidade permite o acesso às configurações de tarefas do Inheritance Project no formato XML sem exigir a permissão necessária Job/ExtendedRead. Normalmente, o Jenkins limita o acesso aos dados XML de configuração de tarefas (`config.xml`) a usuários com permissão Job/ExtendedRead, que geralmente está implícita na permissão Job/Configure. O Plugin de Herança de Projetos possui um recurso de inspeção de tarefas que utiliza a URL da API “/job/…/getConfigAsXML” para seu tipo de tarefa de Herança de Projetos. Esse endpoint não verifica permissões, concedendo acesso aos dados XML de configuração de tarefas a todos os usuários com permissão Job/Read. Além disso, os valores criptografados de segredos armazenados na configuração da tarefa não são ocultados para usuários sem permissão Job/Configure. **Recomendações** Para as versões 21.04.03 e anteriores do Plugin de Herança de Projetos do Jenkins, considere desativar o endpoint da API `/job/…/getConfigAsXML` até que um patch esteja disponível. Para as versões 19.08.02 e anteriores do Plugin de Herança de Projetos do Jenkins, restrinja o acesso às configurações de tarefas do Projeto de Herança para minimizar o risco de exploração. Evite usar a API `config.xml` para usuários sem permissão Job/Configure até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Project Inheritance, versões 21.04.03 e anteriores **Descrição** O problema diz respeito à transmissão de dados do arquivo config.xml de tarefas a usuários sem as permissões adequadas de Job/Configure. Especificamente, o plugin não oculta segredos criptografados no endpoint da API “getConfigAsXML” ao enviar esses dados. Isso poderia expor informações confidenciais. **Recomendações** Para as versões 21.04.03 e anteriores do Jenkins Project Inheritance Plugin, considere restringir o acesso ao endpoint da API “getConfigAsXML” até que uma correção esteja disponível. Como solução alternativa temporária, limite a transmissão dos dados do arquivo config.xml da tarefa apenas aos usuários com as permissões necessárias de Job/Configure.