CVE-2020-2210

Plugin Jenkins Stash Branch Parameter, versões 0.3.0 e anteriores

O problema diz respeito à transmissão de senhas configuradas em texto simples como parte do formulário de configuração global do Jenkins, o que pode resultar na exposição dessas senhas. Isso ocorre porque o Stash Branch Parameter Plugin armazena senhas da API do Stash em seu arquivo de configuração global org.jenkinsci.plugins.StashBranchParameter.StashBranchParameterDefinition.xml no controlador do Jenkins. Embora a senha seja armazenada criptografada no disco, ela é transmitida em texto simples como parte do formulário de configuração. Isso pode levar à exposição da senha por meio de extensões de navegador, vulnerabilidades de cross-site scripting e situações semelhantes. O problema afeta versões do Jenkins anteriores à 2.236, incluindo a 2.235.x LTS, devido à falta de criptografia e descriptografia transparentes dos dados usados para um campo de formulário de senha do Jenkins, recurso introduzido no Jenkins 2.236.

Para as versões 0.3.0 e anteriores do Jenkins Stash Branch Parameter Plugin, considere desativar o plugin até que um patch esteja disponível para impedir a transmissão de senhas configuradas em texto simples.

Para versões do Jenkins anteriores à 2.236, incluindo a 2.235.x LTS, atualize para o Jenkins 2.236 ou posterior para se beneficiar do reforço de segurança que criptografa e descriptografa de forma transparente os dados usados no campo de senha do formulário do Jenkins.