Romuald Moisan

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Sensedia Api Platform Tools versão 1.0 **Descrição:** O plugin Jenkins Sensedia Api Platform Tools armazena o token de integração do Sensedia API Manager não criptografado em seu arquivo de configuração global no controlador Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador Jenkins visualizem o token. **Recomendações:** Garanta que o sistema de arquivos do controlador Jenkins esteja adequadamente protegido para prevenir acesso não autorizado.

Nome do Software Vulnerável e Versões Afetadas: Plugin Jenkins Xooa versões 0.0.7 e anteriores Descrição: O Plugin Jenkins Xooa não mascara o Token de Implantação Xooa no formulário de configuração global, potencialmente permitindo que atacantes o visualizem e capturem. Recomendações: Atualize para uma versão mais recente do Plugin Jenkins Xooa para corrigir este problema.

**Name of the Vulnerable Software and Affected Versions:** Jenkins Xooa Plugin versions 0.0.7 and earlier **Description:** The Jenkins Xooa Plugin stores the Xooa Deployment Token unencrypted in its global configuration file on the Jenkins controller. This allows users with access to the Jenkins controller file system to view the token. **Recommendations:** Update to a newer version of the Jenkins Xooa Plugin.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Warrior Framework versões 1.2 e anteriores **Descrição:** O Plugin Jenkins Warrior Framework armazena senhas não criptografadas em arquivos config.xml de jobs no controlador Jenkins. Isso permite que usuários com permissão Item/Extended Read ou acesso ao sistema de arquivos do controlador Jenkins visualizem as senhas. **Recomendações:** Atualize para uma versão mais recente do Plugin Jenkins Warrior Framework.

Nome do Software Vulnerável e Versões Afetadas: Plugin Jenkins Statistics Gatherer versões 2.0.3 e anteriores Descrição: O plugin Jenkins Statistics Gatherer armazena a Chave Secreta da AWS sem criptografia em seu arquivo de configuração global `org.jenkins.plugins.statistics.gatherer.StatisticsConfiguration.xml` no controlador Jenkins. Esta chave é acessível a usuários com acesso ao sistema de arquivos do controlador Jenkins e não é mascarada no formulário de configuração global. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Statistics Gatherer versões 2.0.3 e anteriores **Descrição:** O plugin Jenkins Statistics Gatherer não mascara a Chave Secreta da AWS no formulário de configuração global e a armazena não criptografada no arquivo de configuração `org.jenkins.plugins.statistics.gatherer.StatisticsConfiguration.xml` no controlador Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador Jenkins visualizem a chave, aumentando o potencial de atacantes a observarem e capturarem. **Recomendações:** Para versões anteriores à 2.0.3, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins ReadyAPI Functional Testing versões 1.11 e anteriores **Descrição:** O Plugin Jenkins ReadyAPI Functional Testing armazena informações sensíveis, incluindo Chaves de Acesso de Licença SLM, segredos de cliente e senhas, em formato não criptografado dentro dos arquivos job config.xml no controlador Jenkins. Isso permite que usuários com permissão Item/Extended Read ou acesso ao sistema de arquivos visualizem essas credenciais. **Recomendações:** Versões anteriores à 1.11: Garanta que o acesso ao sistema de arquivos do controlador Jenkins seja restrito apenas a pessoal autorizado. Limite as permissões Item/Extended Read apenas aos usuários que necessitam de acesso às configurações de job.

**Nome do Software Vulnerável e Versões Afetadas:** Jenkins ReadyAPI Functional Testing Plugin versões 1.11 e anteriores **Descrição:** O Jenkins ReadyAPI Functional Testing Plugin não mascara adequadamente informações sensíveis, como Chaves de Acesso de Licença SLM, segredos do cliente e senhas no formulário de configuração do job. Isso aumenta o risco de observação e captura não autorizadas dessas credenciais. **Recomendações:** Atualize para o Jenkins ReadyAPI Functional Testing Plugin versão 1.12 ou posterior.

Name of the Vulnerable Software and Affected Versions: Jenkins IBM Cloud DevOps Plugin versions 2.0.16 and earlier Description: The Jenkins IBM Cloud DevOps Plugin stores SonarQube authentication tokens unencrypted in job `config.xml` files on the Jenkins controller. These tokens are accessible to users with Item/Extended Read permission or those with access to the Jenkins controller file system. Recommendations: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Dead Man's Snitch versão 0.1 **Descrição:** O plugin Jenkins Dead Man's Snitch versão 0.1 armazena tokens do Dead Man's Snitch não criptografados em arquivos `job config.xml` no controlador Jenkins. Isso permite que usuários com permissão Item/Extended Read ou acesso ao sistema de arquivos do controlador Jenkins visualizem os tokens. **Recomendações:** Atualize para uma versão mais recente do plugin Jenkins Dead Man's Snitch que corrija este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Jenkins Sensedia Api Platform Tools Plugin versão 1.0 Descrição: O plugin Jenkins Sensedia Api Platform Tools não mascara o token de integração do Sensedia API Manager no formulário de configuração global, potencialmente permitindo que atacantes o observem e capturem. Recomendações: Garanta que o token de integração do Sensedia API Manager no formulário de configuração global seja devidamente mascarado.

**Nome do Software Vulnerável e Versões Afetadas:** Versões do Plugin Jenkins VAddy anteriores à 1.2.9 **Descrição:** O Plugin Jenkins VAddy armazena Chaves de Autenticação da API VAddy não criptografadas em arquivos config.xml de tarefas no controlador Jenkins. Essas chaves são acessíveis a usuários com permissão Item/Extended Read ou àqueles com acesso ao sistema de arquivos do controlador Jenkins. **Recomendações:** Atualize para a versão 1.2.9 ou posterior do Plugin Jenkins VAddy.

### Nome do Software Vulnerável e Versões Afetadas: Plugin Jenkins VAddy versões 1.2.8 e anteriores ### Descrição: O Plugin Jenkins VAddy não mascara as Chaves de Autenticação da API Vaddy exibidas no formulário de configuração do job, permitindo potencialmente que atacantes as observem e capturem. ### Recomendações: Atualize para uma versão mais recente do Plugin Jenkins VAddy para corrigir este problema.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Nouvola DiveCloud versões anteriores a 1.09 **Descrição:** O Plugin Jenkins Nouvola DiveCloud armazena Chaves de API do DiveCloud e Chaves de Criptografia de Credenciais não criptografadas em arquivos `config.xml` no controlador Jenkins. Usuários com permissão Item/Extended Read ou acesso ao sistema de arquivos do controlador Jenkins podem visualizar essas chaves. **Recomendações:** Atualize para o Plugin Jenkins Nouvola DiveCloud versão 1.09 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Plugin Jenkins Nouvola DiveCloud versões 1.08 e anteriores Descrição: O Plugin Jenkins Nouvola DiveCloud não mascara as Chaves de API do DiveCloud e as Chaves de Criptografia de Credenciais exibidas no formulário de configuração da job, permitindo potencialmente que atacantes as observem e capturem. Recomendações: Para versões anteriores à 1.08, garanta que as Chaves de API do DiveCloud e as Chaves de Criptografia de Credenciais não estejam expostas no formulário de configuração da job.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Kryptowire versões 0.2 e anteriores **Descrição:** O Plugin Jenkins Kryptowire armazena a chave de API do Kryptowire sem criptografia em seu arquivo de configuração global `org.aerogear.kryptowire.GlobalConfigurationImpl.xml` no controlador Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador Jenkins visualizem a chave de API. **Recomendações:** Versões anteriores à 0.3 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Dead Man's Snitch versão 0.1 **Descrição:** O Plugin Jenkins Dead Man's Snitch não mascara os tokens Dead Man's Snitch exibidos no formulário de configuração da job, permitindo potencialmente que atacantes os observem e capturem. **Recomendações:** Atualize para uma versão mais recente do Plugin Jenkins Dead Man's Snitch que corrija este problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões 0.1.1 e anteriores do Plugin Jenkins AsakusaSatellite **Descrição** O problema diz respeito ao armazenamento de chaves de API do AsakusaSatellite de forma não criptografada em arquivos config.xml de jobs no controlador Jenkins. Isso permite que usuários com a permissão Item/Extended Read ou com acesso ao sistema de arquivos do controlador Jenkins visualizem essas chaves. **Recomendações** Para as versões 0.1.1 e anteriores do Plugin Jenkins AsakusaSatellite, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar as permissões Item/Extended Read para minimizar a exposição das chaves de API do AsakusaSatellite não criptografadas até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Versões 1.0.6 e anteriores do Plugin Jenkins Stack Hammer **Descrição** O problema diz respeito ao armazenamento das chaves de API do Stack Hammer de forma não criptografada dentro dos arquivos config.xml das jobs no controlador Jenkins. Isso permite que usuários com a permissão Extended Read ou acesso ao sistema de arquivos do controlador Jenkins visualizem essas chaves. **Recomendações** Para as versões 1.0.6 e anteriores do Plugin Jenkins Stack Hammer, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar as permissões Extended Read para minimizar a exposição das chaves de API do Stack Hammer não criptografadas até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Jenkins Cadence vManager versões 4.0.0-282.v5096a c2db 275 e anteriores **Descrição** O problema diz respeito ao armazenamento de chaves vAPI do Verisium Manager em forma não criptografada dentro de arquivos config.xml dos jobs no controlador Jenkins. Essas chaves podem ser acessadas por usuários que possuem a permissão Extended Read ou acesso direto ao sistema de arquivos do controlador Jenkins. **Recomendações** Para as versões 4.0.0-282.v5096a c2db 275 e anteriores, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar as permissões Extended Read para minimizar a exposição das chaves vAPI não criptografadas até que uma correção esteja disponível.