PT-2020-2653 · Jenkins · Jenkins Artifactory Plugin
Ethorsa
+1
·
Publicado
2020-03-25
·
Atualizado
2024-03-06
·
CVE-2020-2165
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Artifactory, versões 3.6.0 e anteriores
Descrição
O problema está relacionado à transmissão de senhas configuradas em texto simples como parte do formulário de configuração global do Jenkins, o que pode resultar em sua exposição. Isso pode levar à exposição de senhas por meio de extensões de navegador, vulnerabilidades de cross-site scripting e situações semelhantes. A senha é armazenada criptografada no disco a partir do Artifactory Plugin 3.6.0, mas é transmitida em texto simples pelas versões 3.6.0 e anteriores.
Recomendações
Para as versões 3.6.0 e anteriores do Jenkins Artifactory Plugin, atualize para a versão 3.6.1 ou posterior, que transmite a senha em sua configuração global de forma criptografada. Como solução alternativa temporária, considere restringir o acesso ao formulário de configuração global para minimizar o risco de exploração. Evite usar o arquivo de configuração
org.jfrog.hudson.ArtifactoryBuilder.xml até que o problema seja resolvido.Correção
Cleartext Transmission of Sensitive Information
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins Artifactory Plugin