PT-2020-15333 · Jenkins · Jenkins Debian Package Builder Plugin+1
James Holderness
·
Publicado
2020-02-12
·
Atualizado
2023-10-25
·
CVE-2020-2125
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Debian Package Builder, versões 1.6.11 e anteriores
Descrição
O problema diz respeito ao armazenamento de uma senha GPG de forma não criptografada no arquivo de configuração global no Jenkins master ou no controlador. Esse arquivo pode ser acessado por usuários com privilégios no sistema de arquivos do master ou do controlador, expondo potencialmente a credencial. O arquivo de configuração específico afetado é
ru.yandex.jenkins.plugins.debuilder.DebianPackageBuilder.xml.Recomendações
Para as versões 1.6.11 e anteriores do plugin Jenkins Debian Package Builder, considere restringir o acesso ao sistema de arquivos do Jenkins master ou controller para minimizar o risco de a senha GPG ser visualizada por usuários não autorizados. Como solução temporária, limite os privilégios dos usuários que têm acesso ao sistema de arquivos do master ou controller. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Debian Package Builder Plugin