CVE-2020-2155

Plugin Jenkins OpenShift Deployer, versões 1.2.0 e anteriores

O problema está relacionado à transmissão de credenciais configuradas em texto simples como parte do formulário de configuração global do Jenkins. Isso pode resultar na exposição dessas credenciais. As credenciais são armazenadas criptografadas no disco no arquivo org.jenkinsci.plugins.openshift.DeployApplication.xml no controlador do Jenkins, mas são transmitidas em texto simples como parte do formulário de configuração. Isso pode levar à exposição por meio de extensões de navegador, vulnerabilidades de cross-site scripting e situações semelhantes.

Para as versões 1.2.0 e anteriores do plugin Jenkins OpenShift Deployer, considere desativar a transmissão de credenciais em texto simples como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao formulário de configuração global do Jenkins para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.