PT-2020-15427 · Jenkins · Jenkins Github Coverage Reporter Plugin+1
Wasin Saengow
·
Publicado
2020-07-02
·
Atualizado
2023-10-25
·
CVE-2020-2212
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins GitHub Coverage Reporter, versões 1.8 e anteriores
Plugin Jenkins GitHub Coverage Reporter, versões 1.10 e anteriores
Descrição
O problema diz respeito ao armazenamento de segredos em texto simples no arquivo de configuração global no Jenkins master. Isso permite que usuários com acesso ao sistema de arquivos do master ou com permissões de leitura na configuração do sistema visualizem esses segredos. Especificamente, o token de acesso do GitHub é armazenado sem criptografia no arquivo
io.jenkins.plugins.gcr.PluginConfiguration.xml, tornando-o acessível a usuários com acesso ao sistema de arquivos do controlador do Jenkins.Recomendações
Para as versões 1.8 e anteriores do plugin Jenkins GitHub Coverage Reporter, atualize para uma versão posterior à 1.8 para garantir que os segredos sejam armazenados com segurança.
Para as versões 1.10 e anteriores do plugin Jenkins GitHub Coverage Reporter, considere restringir o acesso ao arquivo
io.jenkins.plugins.gcr.PluginConfiguration.xml até que uma versão segura esteja disponível.Como solução temporária, considere limitar o acesso dos usuários ao sistema de arquivos do Jenkins master e à configuração do sistema para minimizar o risco de exploração.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Github Coverage Reporter Plugin