CVE-2020-2253

Plugin Jenkins Email Extension, versões 2.75 e anteriores

O problema está relacionado à falta de validação do nome do host ao se conectar ao servidor SMTP configurado. Isso poderia ser explorado por meio de um ataque man-in-the-middle para interceptar conexões. Estima-se que este problema possa afetar potencialmente um número significativo de dispositivos, embora o número exato não seja especificado.

Para o Jenkins Email Extension Plugin versões 2.75 e anteriores, defina a propriedade do sistema Java mail.smtp.ssl.checkserveridentity como true na inicialização para habilitar a validação do nome do host.

Como alternativa, habilite essa proteção através do campo “Propriedades avançadas de e-mail” na configuração do plugin em “Configurar sistema”.

Em caso de problemas, essa proteção pode ser desativada novamente definindo mail.smtp.ssl.checkserveridentity como false usando qualquer um dos métodos.

Atualize para a versão 2.76 ou posterior do plugin Jenkins Email Extension, que valida o nome do host SMTP ao se conectar via TLS por padrão.