Zaoui Zakariae

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins QMetry Test Management versões 1.13 e anteriores **Descrição:** O Plugin Jenkins QMetry Test Management armazena Chaves de API do Qmetry Automation não criptografadas em arquivos `config.xml` de jobs no controller do Jenkins. Essas chaves estão acessíveis a usuários com permissão Item/Extended Read ou acesso ao sistema de arquivos do controller do Jenkins. O formulário de configuração do job também não mascara essas chaves de API. **Recomendações:** Para versões anteriores à 1.13, garanta que o acesso ao sistema de arquivos do controller do Jenkins e a jobs com permissão Item/Extended Read seja restrito apenas a pessoal autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Jenkins Testsigma Test Plan run versões 1.6 e anteriores **Descrição:** O plugin Jenkins Testsigma Test Plan run não mascara as chaves de API do Testsigma exibidas no formulário de configuração do job. Isso aumenta a possibilidade de atacantes observarem e capturarem essas chaves. O plugin armazena essas chaves de API em arquivos `config.xml` do job no controlador Jenkins, criptografadas em disco, mas elas não são mascaradas no formulário de configuração do job nas versões 1.6 e anteriores. **Recomendações:** Versões anteriores à 1.6 estão afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Jenkins monitor-remote-job versão 1.0 **Descrição** O problema permite que senhas sejam armazenadas sem criptografia em arquivos job config.xml no controlador Jenkins. Essas senhas podem ser visualizadas por usuários com a permissão Extended Read ou por aqueles que têm acesso ao sistema de arquivos do controlador Jenkins. **Recomendações** Para o Plugin Jenkins monitor-remote-job versão 1.0, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar as permissões Extended Read para minimizar o risco de exposição de senhas. Como solução alternativa temporária, evite armazenar senhas sensíveis em arquivos job config.xml até que um método de armazenamento seguro seja implementado.

**Nome do Software Vulnerável e Versões Afetadas** Versões 1.0.6 e anteriores do Plugin Jenkins Stack Hammer **Descrição** O problema diz respeito ao armazenamento das chaves de API do Stack Hammer de forma não criptografada dentro dos arquivos config.xml das jobs no controlador Jenkins. Isso permite que usuários com a permissão Extended Read ou acesso ao sistema de arquivos do controlador Jenkins visualizem essas chaves. **Recomendações** Para as versões 1.0.6 e anteriores do Plugin Jenkins Stack Hammer, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar as permissões Extended Read para minimizar a exposição das chaves de API do Stack Hammer não criptografadas até que uma correção esteja disponível.