Pierre Beitz

**Nome do Software Vulnerável e Versões Afetadas** Plugin Jenkins Eggplant Runner versões 0.0.1.301.v963cffe8ddb 8 e anteriores **Descrição** As versões 0.0.1.301.v963cffe8ddb 8 e anteriores do Plugin Jenkins Eggplant Runner configuram a propriedade do sistema Java `jdk.http.auth.tunneling.disabledSchemes` para um valor vazio. Esta ação desativa um recurso de segurança dentro do ambiente de execução Java, potencialmente enfraquecendo os mecanismos de proteção. **Recomendações** Atualize para uma versão mais recente do Plugin Jenkins Eggplant Runner.

Nome do Software Vulnerável e Versões Afetadas: Plugin Jenkins DingTalk versões 2.7.3 e anteriores Descrição: O problema envolve a desativação incondicional da validação de certificado SSL/TLS e de nome de host para conexões aos webhooks do DingTalk configurados. Isso afeta a segurança das conexões, potencialmente expondo-as a ataques man-in-the-middle ou outros riscos de segurança. Recomendações: Para as versões 2.7.3 e anteriores do Plugin Jenkins DingTalk, considere desativar o plugin até que uma versão corrigida esteja disponível e gerencie adequadamente a validação de certificado SSL/TLS e de nome de host. Como medida paliativa temporária, restrinja o acesso aos webhooks do DingTalk para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Red Hat Dependency Analytics, versões 0.7.1 e anteriores **Descrição** O problema está relacionado à falta de proteção por Content-Security-Policy para conteúdos gerados pelo usuário em espaços de trabalho, artefatos arquivados etc., que o Jenkins disponibiliza para download. Isso permite que um invasor remoto execute ataques de cross-site scripting (XSS) com a possibilidade de gerenciar arquivos em áreas de trabalho. O plugin Red Hat Dependency Analytics desativa programaticamente a proteção da Política de Segurança de Conteúdo (Content-Security-Policy) para conteúdo gerado pelo usuário quando a etapa de compilação “Invoke Red Hat Dependency Analytics (RHDA)” é executada. **Recomendações** Para as versões 0.7.1 e anteriores do plugin Jenkins Red Hat Dependency Analytics, considere desativar a etapa de compilação “Invoke Red Hat Dependency Analytics (RHDA)” até que um patch esteja disponível para impedir a desativação da proteção da Política de Segurança de Conteúdo. Restrinja o acesso a conteúdo gerado pelo usuário em áreas de trabalho e artefatos arquivados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Lockable Resources, versões 2.8 e anteriores **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores reservem, cancelem reservas, desbloqueiem e reiniciem recursos. Esse problema ocorre porque o plugin não exige solicitações POST para vários pontos de extremidade HTTP, tornando-o vulnerável a ataques CSRF. A vulnerabilidade permite que invasores realizem ações não autorizadas nos recursos. **Recomendações** Para o Jenkins Lockable Resources Plugin versões 2.8 e anteriores, atualize para a versão 2.9 ou posterior, que exige solicitações POST para os pontos de extremidade HTTP afetados, mitigando assim a vulnerabilidade CSRF.

**Nome do software vulnerável e versões afetadas** Versões 2.251 e anteriores do Jenkins Versões LTS 2.235.3 e anteriores do Jenkins **Descrição** O problema resulta em uma vulnerabilidade de script entre sites (XSS) armazenada. Isso ocorre porque a descrição da estratégia de nomenclatura do projeto não é escapada adequadamente, permitindo que usuários com permissão “Geral/Gerenciar” a explorem. A vulnerabilidade pode ser explorada quando a descrição é exibida durante a criação de um item. **Recomendações** Para as versões 2.251 e anteriores do Jenkins, atualize para a versão 2.252 ou posterior para resolver o problema. Para as versões 2.235.3 e anteriores do Jenkins LTS, atualize para a versão 2.235.4 ou posterior para resolver o problema.