CVE-2020-2130

Plugin Jenkins Harvest SCM, versões 0.5.1 e anteriores

O problema diz respeito ao armazenamento de senhas de forma não criptografada no arquivo de configuração global do Jenkins master. Isso permite que usuários com acesso ao sistema de arquivos do master visualizem essas senhas. Especificamente, as senhas são armazenadas nos arquivos hudson.plugins.harvest.HarvestSCM.xml e config.xml de tarefas no controlador do Jenkins. Usuários com permissão de leitura estendida podem visualizar as credenciais nos arquivos config.xml de tarefas, enquanto aqueles com acesso ao sistema de arquivos do controlador do Jenkins podem visualizar as credenciais em ambos os arquivos.

Para as versões 0.5.1 e anteriores do plugin Jenkins Harvest SCM, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins e aos arquivos config.xml das tarefas para minimizar o risco de exploração. Como solução temporária, limite o uso dos arquivos hudson.plugins.harvest.HarvestSCM.xml e config.xml das tarefas até que um método seguro de armazenamento de senhas seja implementado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.