PT-2020-15542 · Jenkins · Jenkins Sqlplus Script Runner Plugin+1
Chris Maggiulli
·
Publicado
2020-11-04
·
Atualizado
2023-10-25
·
CVE-2020-2312
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins SQLPlus Script Runner, versões 2.0.12 e anteriores
Descrição
O problema diz respeito ao plugin Jenkins SQLPlus Script Runner, no qual uma senha fornecida como argumento de linha de comando não é mascarada nos registros de compilação. Isso permite que usuários com permissão de Item/Leitura visualizem a senha, uma vez que ela é exibida nos logs de compilação junto com a invocação do comando
sqlplus.Recomendações
Para o plugin Jenkins SQLPlus Script Runner nas versões 2.0.12 e anteriores, atualize para a versão 2.0.13 ou posterior para resolver o problema, pois a senha não será mais exibida nos logs de compilação.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Sqlplus Script Runner Plugin