Peter Stã¶Ckli

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Mailer, versões 1.32 e anteriores **Descrição** O problema está relacionado à falta de validação do nome do host ao se conectar ao servidor SMTP configurado. Isso poderia ser explorado por meio de um ataque man-in-the-middle para interceptar conexões. Estima-se que esse problema possa afetar potencialmente um grande número de dispositivos, dada a popularidade do Jenkins Mailer Plugin. **Recomendações** Para as versões 1.32 e anteriores do Jenkins Mailer Plugin, defina a propriedade do sistema Java `mail.smtp.ssl.checkserveridentity` como true na inicialização para habilitar a validação do nome do host. Para versões anteriores às 1.32.1, 1.31.1 e 1.29.1, atualize para as respectivas versões corrigidas para habilitar a validação do nome do host por padrão. Como solução alternativa temporária para as versões afetadas, considere definir a propriedade do sistema Java `mail.smtp.ssl.checkserveridentity` como true para se proteger contra ataques man-in-the-middle. Se surgirem problemas, essa proteção pode ser desativada definindo `mail.smtp.ssl.checkserveridentity` como false.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Email Extension, versões 2.75 e anteriores **Descrição** O problema está relacionado à falta de validação do nome do host ao se conectar ao servidor SMTP configurado. Isso poderia ser explorado por meio de um ataque man-in-the-middle para interceptar conexões. Estima-se que este problema possa afetar potencialmente um número significativo de dispositivos, embora o número exato não seja especificado. **Recomendações** Para o Jenkins Email Extension Plugin versões 2.75 e anteriores, defina a propriedade do sistema Java `mail.smtp.ssl.checkserveridentity` como `true` na inicialização para habilitar a validação do nome do host. Como alternativa, habilite essa proteção através do campo “Propriedades avançadas de e-mail” na configuração do plugin em “Configurar sistema”. Em caso de problemas, essa proteção pode ser desativada novamente definindo `mail.smtp.ssl.checkserveridentity` como `false` usando qualquer um dos métodos. Atualize para a versão 2.76 ou posterior do plugin Jenkins Email Extension, que valida o nome do host SMTP ao se conectar via TLS por padrão.