PT-2020-15390 · Jenkins · Jenkins Copr Plugin+1
James Holderness
·
Publicado
2020-04-16
·
Atualizado
2023-10-25
·
CVE-2020-2177
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Copr, versões 0.3 e anteriores
Descrição
O problema diz respeito ao armazenamento de credenciais de forma não criptografada nos arquivos job.config.xml no servidor Jenkins. Essas credenciais podem ser acessadas por usuários com permissão de leitura estendida ou por aqueles que têm acesso ao sistema de arquivos do servidor. As credenciais são armazenadas como parte da configuração do plugin.
Recomendações
Para as versões 0.3 e anteriores do Jenkins Copr Plugin, atualize para a versão 0.6.1 ou posterior para garantir que as credenciais sejam armazenadas de forma criptografada. Como solução temporária, considere restringir o acesso ao sistema de arquivos do Jenkins master e limitar as permissões de Leitura Estendida para minimizar o risco de exposição das credenciais.
Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Copr Plugin