PT-2020-15356 · Jenkins · Jenkins Zephyr Enterprise Test Management Plugin+2

James Holderness

Publicado

2020-03-09

Atualizado

2023-10-25

CVE-2020-2145

CVSS v3.1

5.5

Média

Vetor

AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Nome do software vulnerável e versões afetadas

Plugin Jenkins Zephyr Enterprise Test Management, versões 1.9.1 e anteriores

Descrição

O problema diz respeito ao armazenamento da senha do Zephyr em texto simples no sistema de arquivos do Jenkins master, especificamente no arquivo de configuração global com.thed.zephyr.jenkins.reporter.ZeeReporter.xml. Isso permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins visualizem a senha.

Recomendações

Para o Jenkins Zephyr Enterprise Test Management Plugin versões 1.9.1 e anteriores, atualize para a versão 1.10, que se integra ao Credentials Plugin para armazenar a senha do Zephyr de forma segura.

Correção

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-256CWE-522

Identificadores relacionados

CVE-2020-2145

GHSA-XV58-GP43-6M76

Produtos afetados

Credentials Plugin

Jenkins

Jenkins Zephyr Enterprise Test Management Plugin

PT-2020-15356 · Jenkins · Jenkins Zephyr Enterprise Test Management Plugin+2

CVE-2020-2145

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7