Quentin Parra

**Nome do software vulnerável e versões afetadas** Plugin Jenkins EasyQA versão 1.0 e anteriores **Descrição** Uma vulnerabilidade do tipo falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a um servidor HTTP especificado por eles. **Recomendações** Para o Jenkins EasyQA Plugin versão 1.0 e anteriores, atualize para uma versão posterior à 1.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins EasyQA, versões 1.0 e anteriores **Descrição** A ausência de uma verificação de permissão no plugin permite que invasores com permissão “Overall/Read” se conectem a um servidor HTTP especificado pelo invasor. O método de validação de formulários também está vulnerável a falsificação de solicitações entre sites (CSRF), uma vez que não exige solicitações POST. **Recomendações** Para o plugin Jenkins EasyQA versões 1.0 e anteriores: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução temporária, considere restringir o acesso ao método de validação de formulário do plugin para minimizar o risco de exploração. Além disso, restrinja a permissão `Overall/Read` para impedir que invasores se conectem a um servidor HTTP especificado por eles.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins incapptic connect uploader, versões 1.15 e anteriores **Descrição** A vulnerabilidade permite que tokens sejam armazenados sem criptografia nos arquivos job.config.xml no controlador do Jenkins. Esses tokens podem ser visualizados por usuários com permissão de leitura estendida ou por aqueles que tenham acesso ao sistema de arquivos do controlador do Jenkins. **Recomendações** Para o plugin Jenkins incapptic connect uploader nas versões 1.15 e anteriores, atualize para uma versão posterior à 1.15 para resolver o problema.