CVE-2020-2119

Plugin Jenkins Azure AD, versões 1.1.2 e anteriores

O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte do formulário de configuração global do Jenkins, o que pode resultar em sua exposição. Especificamente, o Plugin Azure AD armazena um segredo de cliente em sua configuração global, que, embora seja armazenado criptografado no disco, é transmitido em texto simples pelas versões 1.1.2 e anteriores. Isso pode levar à exposição de credenciais por meio de extensões de navegador, vulnerabilidades de cross-site scripting e situações semelhantes.

Para as versões 1.1.2 e anteriores do Jenkins Azure AD Plugin, atualize para a versão 1.2.0 ou posterior, que transmite o segredo do cliente em sua configuração global de forma criptografada. Como solução alternativa temporária, considere restringir o acesso ao formulário de configuração global do Jenkins para minimizar o risco de exposição.