CVE-2020-2251

Plug-in de testes funcionais Jenkins SoapUI Pro, versões 1.5 e anteriores

Plug-in de testes funcionais ReadyAPI, versões 1.5 e anteriores

Versões do Jenkins anteriores à 2.236, incluindo a 2.235.x LTS

O problema diz respeito à transmissão de senhas de projeto em texto simples como parte dos formulários de configuração de tarefas, o que pode expô-las. Isso ocorre devido ao armazenamento das senhas de projeto nos arquivos config.xml das tarefas no controlador Jenkins, como parte da configuração do plugin. Embora as senhas sejam armazenadas criptografadas no disco desde a versão 1.4, elas são transmitidas em texto simples pelas versões 1.5 e anteriores. Invasores com permissão de leitura estendida podem visualizar essas senhas.

Para o plugin Jenkins SoapUI Pro Functional Testing nas versões 1.5 e anteriores: atualize para uma versão posterior à 1.5 para garantir que as senhas não sejam transmitidas em texto simples.

Para o plugin ReadyAPI Functional Testing nas versões 1.5 e anteriores: atualize para uma versão posterior à 1.5 para impedir a transmissão de senhas em texto simples.

Para versões do Jenkins anteriores à 2.236, incluindo a 2.235.x LTS: atualize para a versão 2.236 ou posterior do Jenkins para utilizar o reforço de segurança que criptografa e descriptografa os dados usados nos campos de formulário de senha do Jenkins.