PT-2020-15354 · Jenkins · Jenkins Logstash Plugin+1
James Holderness
·
Publicado
2020-03-09
·
Atualizado
2023-10-25
·
CVE-2020-2143
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Logstash versões 2.3.1 e anteriores
Descrição
O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte do formulário de configuração global do Jenkins. Isso pode resultar na exposição dessas credenciais por diversos meios, como extensões de navegador ou vulnerabilidades de cross-site scripting. As credenciais são armazenadas criptografadas no disco, mas são transmitidas em texto simples pelas versões 2.3.1 e anteriores do Logstash Plugin.
Recomendações
Para as versões 2.3.1 e anteriores do plugin Jenkins Logstash, atualize para a versão 2.3.2 ou posterior, que transmite as credenciais criptografadas em sua configuração global.
Como solução alternativa temporária, considere restringir o acesso ao formulário de configuração global para minimizar o risco de exposição das credenciais.
Correção
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Logstash Plugin