Raihaan Shouhell

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Role-based Authorization Strategy, versões 3.0 e anteriores **Descrição** O problema decorre da invalidação incorreta do cache de permissões quando a configuração é alterada, resultando na concessão de permissões com base em uma configuração desatualizada. Isso pode levar à concessão de permissões muito tempo depois de a configuração ter sido alterada para não concedê-las mais. **Recomendações** Para o plugin Jenkins Role-based Authorization Strategy nas versões 3.0 e anteriores, atualize para a versão 3.1 ou mais recente para invalidar corretamente o cache em caso de alterações na configuração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins para Amazon EC2, versões 1.50.1 e anteriores **Descrição** O problema diz respeito à falta de validação da chave de host SSH ao conectar agentes, o que poderia permitir ataques do tipo “man-in-the-middle” para interceptar conexões com agentes de compilação. Isso poderia potencialmente permitir acesso não autorizado ou manipulação de dados. **Recomendações** Para o Jenkins Amazon EC2 Plugin versões 1.50.1 e anteriores, atualize para a versão 1.50.2 ou posterior, que oferece estratégias para realizar a validação da chave do host e assistência para a migração para uma estratégia mais segura.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins para Amazon EC2, versões 1.50.1 e anteriores **Descrição** A vulnerabilidade permite ataques do tipo “man-in-the-middle” devido à aceitação incondicional de certificados autoassinados e à falta de validação do nome do host ao se conectar a agentes Windows via HTTPS. Isso poderia ser explorado para interceptar conexões com agentes de compilação. **Recomendações** Para o Jenkins Amazon EC2 Plugin versões 1.50.1 e anteriores, atualize para a versão 1.50.2 ou posterior, que, por padrão, não aceita mais certificados HTTPS autoassinados e realiza a validação do nome do host. Observe que uma nova opção de configuração na versão 1.50.2 permite restaurar o comportamento anterior, que não é seguro; portanto, recomenda-se evitar o uso dessa opção para manter as configurações padrão seguras.