S0Nnguy3N

**Nome do software vulnerável e versões afetadas** Plug-in Jenkins CollabNet, versões 2.0.8 e anteriores **Descrição** O problema diz respeito ao armazenamento de uma senha do RabbitMQ de forma não criptografada no arquivo de configuração global do controlador do Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins visualizem a senha. **Recomendações** Para as versões 2.0.8 e anteriores do plugin Jenkins CollabNet Plugins, atualize para uma versão posterior à 2.0.8 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição da senha.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins OpsGenie versões 1.9 e anteriores **Descrição** O problema diz respeito à transmissão e ao armazenamento de chaves de API em texto simples. Especificamente, as chaves de API são transmitidas em texto simples como parte do formulário de configuração global do Jenkins e dos formulários de configuração de tarefas, o que pode resultar na sua exposição. Além disso, essas chaves são armazenadas sem criptografia no arquivo de configuração global `com.opsgenie.integration.jenkins.OpsGenieNotifier.xml` e nos arquivos `config.xml` de tarefas no controlador do Jenkins. Usuários com permissão de leitura de itens/estendida ou acesso ao sistema de arquivos do controlador do Jenkins podem visualizar essas chaves de API. **Recomendações** Para as versões 1.9 e anteriores do plugin Jenkins OpsGenie, como solução alternativa temporária, considere restringir o acesso ao arquivo de configuração global e aos arquivos de configuração de tarefas para minimizar o risco de exposição das chaves de API. Evite usar os arquivos `com.opsgenie.integration.jenkins.OpsGenieNotifier.xml` e `config.xml` de tarefas até que uma correção esteja disponível. Restrinja o acesso ao sistema de arquivos do controlador Jenkins para impedir a visualização não autorizada das chaves de API. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins OpsGenie versões 1.9 e anteriores **Descrição** O problema diz respeito ao armazenamento de chaves de API de forma não criptografada no arquivo de configuração global e nos arquivos job config.xml no controlador do Jenkins. Essas chaves podem ser acessadas por usuários com permissão de leitura estendida para arquivos job config.xml ou por aqueles com acesso ao sistema de arquivos do controlador do Jenkins. As chaves de API também são transmitidas em texto simples como parte dos formulários de configuração. Isso poderia potencialmente permitir o acesso não autorizado a informações confidenciais. **Recomendações** Para as versões 1.9 e anteriores do plugin Jenkins OpsGenie, como solução temporária, considere restringir o acesso ao arquivo de configuração global `com.opsgenie.integration.jenkins.OpsGenieNotifier.xml` e aos arquivos `config.xml` de tarefas para minimizar o risco de exploração. Além disso, limite as permissões dos usuários com permissão de leitura de itens/extensa para reduzir a superfície de ataque. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Skype Notifier, versões 1.1.0 e anteriores **Descrição** O problema diz respeito ao armazenamento de uma senha de forma não criptografada no arquivo de configuração global do controlador Jenkins. Essa senha é armazenada no arquivo `hudson.plugins.skype.im.transport.SkypePublisher.xml` como parte da configuração do plugin e pode ser acessada por usuários com acesso ao sistema de arquivos do controlador Jenkins. **Recomendações** Para as versões 1.1.0 e anteriores do plugin Jenkins Skype Notifier, considere remover ou criptografar a senha armazenada no arquivo `hudson.plugins.skype.im.transport.SkypePublisher.xml` para impedir o acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins RQM versões 2.8 e anteriores **Descrição** O problema diz respeito ao armazenamento de uma senha de forma não criptografada no arquivo de configuração global do controlador do Jenkins. Especificamente, a senha é armazenada no arquivo `net.praqma.jenkins.rqm.RqmBuilder.xml`. Essa senha não criptografada pode ser acessada por usuários que tenham permissão para visualizar o sistema de arquivos do controlador Jenkins. **Recomendações** Para as versões 2.8 e anteriores do plugin Jenkins RQM, considere atualizar para uma versão que criptografe adequadamente as senhas no arquivo de configuração global, a fim de impedir o acesso não autorizado. Como solução temporária, restrinja o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de a senha não criptografada ser visualizada por usuários não autorizados.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins RQM versões 2.8 e anteriores **Descrição** Uma falha na verificação do plugin Jenkins RQM permite que invasores com permissão Overall/Read enumerem os IDs das credenciais armazenadas no Jenkins. Isso pode ser feito por meio de um endpoint HTTP que não realiza uma verificação de permissão, permitindo potencialmente que invasores utilizem os IDs de credenciais enumerados como parte de um ataque para capturar as credenciais usando outra vulnerabilidade. **Recomendações** Para as versões 2.8 e anteriores do plugin Jenkins RQM, considere desativar o endpoint HTTP afetado até que um patch esteja disponível. Restrinja o acesso ao plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins XPath Configuration Viewer, versões 1.1.1 e anteriores **Descrição** A falta de uma verificação de permissão no plugin Jenkins XPath Configuration Viewer permite que invasores com permissão Geral/Leitura acessem a página do Visualizador de Configuração XPath. Essa página concede acesso aos dados XML de configuração de tarefas a todos os usuários com permissão Item/Leitura. Os valores criptografados de segredos armazenados na configuração da tarefa não são ocultados, como seria feito pela API config.xml para usuários sem permissão Item/Configurar. **Recomendações** Para as versões 1.1.1 e anteriores do plugin Jenkins XPath Configuration Viewer, considere desativar o acesso à página do Visualizador de Configuração XPath até que um patch esteja disponível. Restrinja o acesso ao endpoint HTTP relacionado à página do Visualizador de Configuração XPath para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Request Rename Or Delete, versões 1.1.0 e anteriores **Descrição** O problema decorre de uma verificação incorreta de permissões em um endpoint HTTP, permitindo que invasores com permissão de acesso geral/leitura visualizem uma página de configuração administrativa que lista solicitações pendentes. **Recomendações** Para as versões 1.1.0 e anteriores do plugin Jenkins Request Rename Or Delete, considere restringir o acesso à página de configuração administrativa até que uma correção esteja disponível. Como solução temporária, revise e limite as permissões gerais/de leitura para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin de mensagens instantâneas do Jenkins, versões 1.41 e anteriores **Descrição** A vulnerabilidade permite que senhas de chats em grupo sejam armazenadas sem criptografia no arquivo de configuração global dos plugins baseados no plugin de mensagens instantâneas do Jenkins no controlador do Jenkins. Essas senhas podem ser visualizadas por usuários com acesso ao sistema de arquivos do controlador do Jenkins. **Recomendações** Para as versões 1.41 e anteriores, atualize para uma versão que corrija o problema, a fim de impedir o armazenamento não criptografado de senhas de bate-papos em grupo. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição das senhas.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins global-build-stats, versões 1.5 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) armazenada. Ela ocorre porque vários campos na configuração do gráfico na página “Global Build Stats” não são escapados adequadamente. Essa vulnerabilidade pode ser explorada por invasores que possuam permissão de nível geral/administrador. **Recomendações** Para o plugin Jenkins global-build-stats versões 1.5 e anteriores, atualize para uma versão posterior à 1.5 para resolver o problema. Como solução temporária, considere restringir o acesso à página “Global Build Stats” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin dbCharts do Jenkins, versões 0.5.2 e anteriores **Descrição** O problema diz respeito ao armazenamento de senhas de conexão JDBC no arquivo de configuração global no controlador do Jenkins. Essas senhas são armazenadas sem criptografia e podem ser visualizadas por usuários com acesso ao sistema de arquivos do controlador do Jenkins. O arquivo de configuração em questão é `hudson.plugins.dbcharts.DbChartPublisher.xml`. Isso representa um risco, pois usuários com acesso ao sistema de arquivos podem obter as senhas. **Recomendações** Para as versões 0.5.2 e anteriores do plugin Jenkins dbCharts, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição das senhas até que uma correção esteja disponível. Como solução alternativa temporária, limite o acesso dos usuários ao arquivo `hudson.plugins.dbcharts.DbChartPublisher.xml` para impedir a visualização não autorizada das senhas de conexão JDBC não criptografadas.

**Nome do software vulnerável e versões afetadas** Plugin de parâmetros do repositório de artefatos do Jenkins, versões 1.0.0 e anteriores **Descrição** O problema resulta em uma vulnerabilidade de script entre sites (XSS) armazenada, pois os nomes e descrições dos parâmetros não são escapados. Essa vulnerabilidade pode ser explorada por invasores com permissão de Job/Configure. **Recomendações** Para o Jenkins Artifact Repository Parameter Plugin versões 1.0.0 e anteriores, atualize para a versão 1.0.1 ou posterior, que escapa nomes e descrições de parâmetros, para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Repository Connector, versões 2.0.2 e anteriores **Descrição** A falha resulta em uma vulnerabilidade de script entre sites (XSS) armazenada, que pode ser explorada por invasores com permissão de Item/Configurar. Isso ocorre porque o plugin não escapa os nomes e descrições dos parâmetros de compilações anteriores. **Recomendações** Para as versões 2.0.2 e anteriores, atualize para a versão 2.0.3 ou posterior, que escapa nomes e descrições de parâmetros ao criar novos parâmetros.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Bumblebee HP ALM, versões 4.1.5 e anteriores **Descrição** O problema diz respeito ao armazenamento de credenciais de forma não criptografada no arquivo de configuração global do controlador Jenkins. Especificamente, as credenciais são armazenadas no arquivo `com.agiletestware.bumblebee.BumblebeeGlobalConfig.xml`. Usuários com acesso ao sistema de arquivos do controlador Jenkins podem visualizar essas credenciais. Observa-se que, na versão 4.1.6, as credenciais são armazenadas criptografadas assim que a configuração é salva novamente. **Recomendações** Para as versões 4.1.5 e anteriores do plugin Jenkins Bumblebee HP ALM, atualize para a versão 4.1.6 ou posterior para garantir que as credenciais sejam armazenadas de forma criptografada. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição das credenciais.