PT-2020-15428 · Jenkins · Jenkins White Source Plugin+1
Wasin Saengow
·
Publicado
2020-07-02
·
Atualizado
2023-10-25
·
CVE-2020-2213
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins White Source, versões 19.1.1 e anteriores
Plugin Jenkins White Source, versões anteriores à 20.8.1
Descrição
A vulnerabilidade permite que credenciais sejam armazenadas sem criptografia no arquivo de configuração global e nos arquivos config.xml de tarefas no Jenkins master. Essas credenciais podem ser visualizadas por usuários com permissão de leitura estendida ou acesso ao sistema de arquivos do master. As credenciais são armazenadas em texto simples como parte do arquivo de configuração global
org.whitesource.jenkins.pipeline.WhiteSourcePipelineStep.xml e dos arquivos config.xml de tarefas no controlador do Jenkins.Recomendações
Para as versões 19.1.1 e anteriores, atualize para a versão 20.8.1 ou posterior para resolver o problema.
Para versões anteriores à 20.8.1, atualize para a versão 20.8.1 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins e limitar a permissão de Leitura Estendida para minimizar o risco de exploração.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins White Source Plugin