Wasin Saengow

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Metrics, versões 4.0.2.8 e anteriores **Descrição** A vulnerabilidade permite que uma chave de acesso seja armazenada sem criptografia no arquivo de configuração global no controlador do Jenkins. Essa chave de acesso pode ser visualizada por usuários com acesso ao sistema de arquivos do controlador do Jenkins. O arquivo `jenkins.metrics.api.MetricsAccessKey.xml` é especificamente mencionado como parte da configuração onde essa chave de acesso é armazenada. **Recomendações** Para as versões 4.0.2.8 e anteriores do Jenkins Metrics Plugin, considere atualizar para a versão 4.0.2.8.1 ou posterior, pois ela armazena a chave de acesso criptografada assim que a configuração é salva novamente. Como solução alternativa temporária, restrinja o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de a chave de acesso ser visualizada por usuários não autorizados.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Parameterized Remote Trigger, versões 3.1.3 e anteriores **Descrição** O problema diz respeito ao armazenamento de um segredo de forma não criptografada no arquivo de configuração global do controlador do Jenkins. Especificamente, o segredo é armazenado no arquivo `org.jenkinsci.plugins.ParameterizedRemoteTrigger.RemoteBuildConfiguration.xml`. Isso permite que invasores com acesso ao sistema de arquivos do controlador do Jenkins visualizem o segredo. **Recomendações** Para as versões 3.1.3 e anteriores do plugin Jenkins Parameterized Remote Trigger, atualize para a versão 3.1.4 ou posterior para garantir que o segredo seja armazenado criptografado após salvar novamente a configuração. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plug-in de testes funcionais Jenkins SoapUI Pro, versões 1.5 e anteriores Plug-in de testes funcionais ReadyAPI, versões 1.5 e anteriores Versões do Jenkins anteriores à 2.236, incluindo a 2.235.x LTS **Descrição** O problema diz respeito à transmissão de senhas de projeto em texto simples como parte dos formulários de configuração de tarefas, o que pode expô-las. Isso ocorre devido ao armazenamento das senhas de projeto nos arquivos `config.xml` das tarefas no controlador Jenkins, como parte da configuração do plugin. Embora as senhas sejam armazenadas criptografadas no disco desde a versão 1.4, elas são transmitidas em texto simples pelas versões 1.5 e anteriores. Invasores com permissão de leitura estendida podem visualizar essas senhas. **Recomendações** Para o plugin Jenkins SoapUI Pro Functional Testing nas versões 1.5 e anteriores: atualize para uma versão posterior à 1.5 para garantir que as senhas não sejam transmitidas em texto simples. Para o plugin ReadyAPI Functional Testing nas versões 1.5 e anteriores: atualize para uma versão posterior à 1.5 para impedir a transmissão de senhas em texto simples. Para versões do Jenkins anteriores à 2.236, incluindo a 2.235.x LTS: atualize para a versão 2.236 ou posterior do Jenkins para utilizar o reforço de segurança que criptografa e descriptografa os dados usados nos campos de formulário de senha do Jenkins.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins GitHub Coverage Reporter, versões 1.8 e anteriores Plugin Jenkins GitHub Coverage Reporter, versões 1.10 e anteriores **Descrição** O problema diz respeito ao armazenamento de segredos em texto simples no arquivo de configuração global no Jenkins master. Isso permite que usuários com acesso ao sistema de arquivos do master ou com permissões de leitura na configuração do sistema visualizem esses segredos. Especificamente, o token de acesso do GitHub é armazenado sem criptografia no arquivo `io.jenkins.plugins.gcr.PluginConfiguration.xml`, tornando-o acessível a usuários com acesso ao sistema de arquivos do controlador do Jenkins. **Recomendações** Para as versões 1.8 e anteriores do plugin Jenkins GitHub Coverage Reporter, atualize para uma versão posterior à 1.8 para garantir que os segredos sejam armazenados com segurança. Para as versões 1.10 e anteriores do plugin Jenkins GitHub Coverage Reporter, considere restringir o acesso ao arquivo `io.jenkins.plugins.gcr.PluginConfiguration.xml` até que uma versão segura esteja disponível. Como solução temporária, considere limitar o acesso dos usuários ao sistema de arquivos do Jenkins master e à configuração do sistema para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Slack Upload, versões 1.7 e anteriores **Descrição** A vulnerabilidade permite que usuários com permissão de leitura estendida, ou acesso ao sistema de arquivos do servidor principal, visualizem um segredo armazenado sem criptografia nos arquivos job.config.xml no servidor principal do Jenkins. **Recomendações** Para as versões 1.7 e anteriores do Jenkins Slack Upload Plugin, considere restringir o acesso ao sistema de arquivos do mestre e limitar as permissões de leitura estendida para minimizar o risco de exploração. Como solução temporária, considere criptografar os dados confidenciais armazenados nos arquivos job.config.xml até que uma solução mais permanente esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins White Source, versões 19.1.1 e anteriores Plugin Jenkins White Source, versões anteriores à 20.8.1 **Descrição** A vulnerabilidade permite que credenciais sejam armazenadas sem criptografia no arquivo de configuração global e nos arquivos config.xml de tarefas no Jenkins master. Essas credenciais podem ser visualizadas por usuários com permissão de leitura estendida ou acesso ao sistema de arquivos do master. As credenciais são armazenadas em texto simples como parte do arquivo de configuração global `org.whitesource.jenkins.pipeline.WhiteSourcePipelineStep.xml` e dos arquivos config.xml de tarefas no controlador do Jenkins. **Recomendações** Para as versões 19.1.1 e anteriores, atualize para a versão 20.8.1 ou posterior para resolver o problema. Para versões anteriores à 20.8.1, atualize para a versão 20.8.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins e limitar a permissão de Leitura Estendida para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin CryptoMove do Jenkins, versões 0.1.33 e anteriores **Descrição** A vulnerabilidade permite que invasores com acesso de nível Job/Configure executem comandos arbitrários do sistema operacional no Jenkins master como a conta de usuário do sistema operacional que executa o Jenkins. Isso é possível porque o plugin CryptoMove permite a configuração de um comando do sistema operacional a ser executado como parte da configuração da etapa de compilação, que será executada no controlador do Jenkins. Usuários com permissão de nível Job/Configure podem explorar essa vulnerabilidade para executar comandos arbitrários do sistema operacional no controlador do Jenkins. **Recomendações** Para as versões 0.1.33 e anteriores do plugin CryptoMove do Jenkins, considere restringir o acesso à permissão Job/Configure para minimizar o risco de exploração. Como solução alternativa temporária, considere desativar a configuração da etapa de compilação que permite a execução de comandos do sistema operacional até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Jenkins Mattermost Notification Plugin versions 2.7.0 and earlier **Description** The issue allows stored webhook URLs containing a secret token to be viewed unencrypted in the global configuration file and job config.xml files on the Jenkins master. This can be accessed by users with Extended Read permission or those who have access to the master file system. **Recommendations** For Jenkins Mattermost Notification Plugin versions 2.7.0 and earlier, update the plugin to a version that properly encrypts or secures the webhook URLs and secret tokens. As a temporary workaround, consider restricting access to the Jenkins master file system and limiting Extended Read permissions to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Jenkins Zulip Plugin versions 1.1.0 and earlier Jenkins Zulip Plugin versions prior to 1.1.1 **Description** The issue allows stored credentials to be viewed unencrypted in the global configuration file on the Jenkins master. This could be accessed by users with access to the master file system. **Recommendations** For Jenkins Zulip Plugin versions 1.1.0 and earlier, update to version 1.1.1 or later to resolve the issue. For Jenkins Zulip Plugin versions prior to 1.1.1, update to version 1.1.1 or later to resolve the issue.