PT-2020-15373 · Jenkins · Jenkins Deployhub Plugin+1
James Holderness
·
Publicado
2020-03-09
·
Atualizado
2023-10-25
·
CVE-2020-2156
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins DeployHub, versões 8.0.14 e anteriores
Descrição
O problema diz respeito à transmissão de credenciais configuradas em texto simples como parte dos formulários de configuração de tarefas, o que pode resultar em sua exposição. As credenciais são armazenadas criptografadas no disco em arquivos
config.xml, mas são transmitidas em texto simples pelo plugin DeployHub. Isso poderia permitir que usuários com permissão de leitura estendida visualizassem essas credenciais.Recomendações
Para as versões 8.0.14 e anteriores do plugin Jenkins DeployHub, considere restringir o acesso aos formulários de configuração de tarefas para minimizar o risco de exposição das credenciais. Como solução temporária, limite as permissões dos usuários para impedir que aqueles com permissão de Leitura Estendida acessem informações confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Deployhub Plugin