PT-2020-15473 · Jenkins · Jenkins Team Foundation Server Plugin+1
James Holderness
·
Publicado
2020-09-01
·
Atualizado
2023-10-25
·
CVE-2020-2249
CVSS v3.1
3.3
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Team Foundation Server, versões 5.157.1 e anteriores
Descrição
O problema diz respeito ao armazenamento de um segredo de webhook de forma não criptografada no arquivo de configuração global do controlador Jenkins. Especificamente, o segredo é armazenado no arquivo
hudson.plugins.tfs.TeamPluginGlobalConfig.xml. Isso permite que invasores com acesso ao sistema de arquivos do controlador Jenkins visualizem o segredo.Recomendações
Para as versões 5.157.1 e anteriores do plugin Jenkins Team Foundation Server, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exploração. Como solução temporária, restrinja o acesso ao arquivo
hudson.plugins.tfs.TeamPluginGlobalConfig.xml até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Missing Encryption of Sensitive Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Team Foundation Server Plugin