Tim Jacomb

**Name of the Vulnerable Software and Affected Versions** Jenkins Kubernetes Plugin versions 3909.v1f2c633e8590 and earlier **Description** The issue arises from the Jenkins Kubernetes Plugin not properly masking credentials in the build log when push mode for durable task logging is enabled. This results in credentials being exposed in the build log, potentially leading to unauthorized access. **Recommendations** For Jenkins Kubernetes Plugin versions 3909.v1f2c633e8590 and earlier, consider disabling the push mode for durable task logging until a patch is available to properly mask credentials in the build log. Restrict access to the build logs to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Jenkins Azure Key Vault Plugin versions 187.va cd5fecd198a and earlier **Description** The issue arises when the push mode for durable task logging is enabled, causing the plugin to not properly mask credentials in the build log. This means that instead of being replaced with asterisks, credentials are visible, potentially exposing sensitive information. **Recommendations** For Jenkins Azure Key Vault Plugin versions 187.va cd5fecd198a and earlier, consider disabling the push mode for durable task logging until a fix is available to prevent credentials from being exposed in the build log.

**Name of the Vulnerable Software and Affected Versions** Jenkins Thycotic DevOps Secrets Vault Plugin versions 1.0.0 and earlier **Description** The issue arises from the improper masking of credentials in the build log when push mode for durable task logging is enabled. This means that credentials are not replaced with asterisks as they should be, potentially exposing sensitive information. **Recommendations** For Jenkins Thycotic DevOps Secrets Vault Plugin versions 1.0.0 and earlier, consider disabling the push mode for durable task logging until a proper fix is available to ensure credentials are masked correctly in the build log.

**Nome do software vulnerável e versões afetadas** Plugin de integração do Jenkins Pipeline com o Maven, versões 3.8.2 e anteriores **Descrição** A ausência de uma verificação de permissão no plugin de integração do Jenkins Pipeline com o Maven permite que usuários com acesso geral/de leitura enumerem os IDs das credenciais armazenadas no Jenkins. Este problema afeta o endpoint HTTP do plugin, permitindo que invasores obtenham IDs de credenciais, que podem ser usados em conjunto com outra vulnerabilidade para capturar as credenciais. **Recomendações** Para o Jenkins Pipeline Maven Integration Plugin versões 3.8.2 e anteriores, atualize para a versão 3.8.3 ou posterior, que exige permissões apropriadas para enumerar IDs de credenciais.

**Nome do software vulnerável e versões afetadas** Plugin de integração do Jenkins Pipeline com o Maven, versões 3.8.2 e anteriores **Descrição** A ausência de uma verificação de permissão no plugin permite que usuários com acesso geral/de leitura se conectem a uma URL JDBC especificada pelo invasor, utilizando IDs de credenciais fornecidas por ele, o que pode resultar na captura de credenciais armazenadas no Jenkins. O método de validação de formulário também é vulnerável a falsificação de solicitação entre sites (CSRF), pois não exige solicitações POST. **Recomendações** Para o Jenkins Pipeline Maven Integration Plugin versões 3.8.2 e anteriores, atualize para a versão 3.8.3 ou posterior, que exige solicitações POST e permissão Job/Configure para o método de validação de formulário afetado, mitigando o problema.

**Nome do software vulnerável e versões afetadas** Plugin de integração do Jenkins Pipeline com o Maven, versões 3.8.2 e anteriores **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), permitindo que invasores se conectem a uma URL JDBC especificada por eles usando IDs de credenciais fornecidas por eles, com potencial para capturar credenciais armazenadas no Jenkins. Esse problema surge devido à falta de verificações de permissão em um método de validação de formulário, que pode ser explorado por usuários com acesso Geral/Leitura ao Jenkins. O método de validação de formulário também é vulnerável a ataques CSRF porque não exige solicitações POST. **Recomendações** Para o Jenkins Pipeline Maven Integration Plugin versões 3.8.2 e anteriores, atualize para a versão 3.8.3 ou posterior, que exige solicitações POST e permissão Job/Configure para o método de validação de formulário afetado, mitigando a vulnerabilidade CSRF.