Said Abdesslem Messadi

**Nome do Software Vulnerável e Versões Afetadas** Plugin Jenkins Azure CLI versões 0.9 e anteriores **Descrição** O plugin Jenkins Azure CLI não restringe os comandos que executa no controlador Jenkins. Isso permite que atacantes com a permissão Item/Configure executem comandos shell arbitrários. O problema decorre da falta de validação de comandos, permitindo que atores maliciosos executem comandos no nó mestre do Jenkins. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Applitools Eyes versões 1.16.5 e anteriores **Descrição:** O Plugin Jenkins Applitools Eyes não faz o escape adequado da URL do Applitools exibida na página de build, resultando em um problema de cross-site scripting (XSS) armazenado. Um atacante com a permissão Item/Configure pode explorar isso para injetar scripts maliciosos. **Recomendações:** Atualize para uma versão mais recente do Plugin Jenkins Applitools Eyes que corrija este problema.

**Name of the Vulnerable Software and Affected Versions:** Jenkins QMetry Test Management Plugin versions 1.13 and earlier **Description:** The Jenkins QMetry Test Management Plugin does not properly protect Qmetry Automation API Keys. These keys are stored unencrypted in job `config.xml` files on the Jenkins controller and are visible to users with Item/Extended Read permission or file system access. The job configuration form also displays these API keys without masking, potentially allowing attackers to observe and capture them. **Recommendations:** Versions prior to 1.13: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions:** Jenkins Applitools Eyes Plugin versions 1.16.5 and earlier **Description:** The Jenkins Applitools Eyes Plugin stores Applitools API keys unencrypted in `job config.xml` files on the Jenkins controller. Users with Item/Extended Read permission or access to the Jenkins controller file system can view these keys. **Recommendations:** For versions prior to 1.16.5, ensure that access to `job config.xml` files is restricted to authorized personnel only.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Applitools Eyes versões 1.16.5 e anteriores **Descrição:** O Plugin Jenkins Applitools Eyes não mascara as chaves de API do Applitools exibidas no formulário de configuração da job. Isso aumenta a possibilidade de atacantes observarem e capturarem essas chaves. **Recomendações:** Atualize para uma versão mais recente do Plugin Jenkins Applitools Eyes.

Nome do Software Vulnerável e Versões Afetadas: Plugin Jenkins User1st uTester versões 1.1 e anteriores Descrição: O Plugin Jenkins User1st uTester armazena o token JWT (JSON Web Token) do uTester não criptografado em seu arquivo de configuração global no controlador Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador Jenkins visualizem o token. Recomendações: Atualize o Plugin Jenkins User1st uTester para uma versão posterior à 1.1.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Jenkins Zoho QEngine versões 1.0.29.vfa cc23396502 e anteriores **Descrição** A questão diz respeito ao Plugin Jenkins Zoho QEngine, no qual o campo de formulário `QEngine API Key` não está mascarado, o que potencialmente permite que atacantes o observem e capturem. **Recomendações** Para as versões 1.0.29.vfa cc23396502 e anteriores do Plugin Jenkins Zoho QEngine, considere mascarar o campo de formulário `QEngine API Key` para impedir que potenciais atacantes o observem e capturem. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.