PT-2020-15459 · Jenkins · Jenkins Parameterized Trigger Plugin+1
Wasin Saengow
·
Publicado
2020-09-01
·
Atualizado
2023-10-25
·
CVE-2020-2239
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Parameterized Remote Trigger, versões 3.1.3 e anteriores
Descrição
O problema diz respeito ao armazenamento de um segredo de forma não criptografada no arquivo de configuração global do controlador do Jenkins. Especificamente, o segredo é armazenado no arquivo
org.jenkinsci.plugins.ParameterizedRemoteTrigger.RemoteBuildConfiguration.xml. Isso permite que invasores com acesso ao sistema de arquivos do controlador do Jenkins visualizem o segredo.Recomendações
Para as versões 3.1.3 e anteriores do plugin Jenkins Parameterized Remote Trigger, atualize para a versão 3.1.4 ou posterior para garantir que o segredo seja armazenado criptografado após salvar novamente a configuração.
Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exploração.
Correção
Missing Encryption of Sensitive Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Parameterized Trigger Plugin