PT-2020-15453 · Jenkins · Jenkins Email Extension Plugin+1
Bjoern Kasteleiner
·
Publicado
2020-08-12
·
Atualizado
2023-10-25
·
CVE-2020-2232
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Email Extension, versões 2.72 a 2.73
Descrição
O problema diz respeito à transmissão e exibição da senha SMTP em texto simples como parte do formulário de configuração global do Jenkins, o que pode resultar em sua exposição. O Plugin de Extensão de E-mail armazena a senha SMTP em seu arquivo de configuração global
hudson.plugins.emailext.ExtendedEmailPublisher.xml no controlador do Jenkins. Embora a senha seja armazenada criptografada no disco, ela é transmitida e exibida em texto simples no formulário de configuração pelas versões afetadas.Recomendações
Para as versões 2.72 e 2.73 do Plugin de Extensão de E-mail do Jenkins, atualize para a versão 2.74 ou posterior, que transmite a senha SMTP criptografada e a oculta usando um campo de senha.
Correção
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Email Extension Plugin