PT-2020-15422 · Jenkins · Jenkins Slack Upload Plugin+1
Wasin Saengow
·
Publicado
2020-07-02
·
Atualizado
2023-10-25
·
CVE-2020-2208
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Slack Upload, versões 1.7 e anteriores
Descrição
A vulnerabilidade permite que usuários com permissão de leitura estendida, ou acesso ao sistema de arquivos do servidor principal, visualizem um segredo armazenado sem criptografia nos arquivos job.config.xml no servidor principal do Jenkins.
Recomendações
Para as versões 1.7 e anteriores do Jenkins Slack Upload Plugin, considere restringir o acesso ao sistema de arquivos do mestre e limitar as permissões de leitura estendida para minimizar o risco de exploração. Como solução temporária, considere criptografar os dados confidenciais armazenados nos arquivos job.config.xml até que uma solução mais permanente esteja disponível.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Slack Upload Plugin