PT-2020-2658 · Jenkins · Jenkins Artifactory Plugin
Ethorsa
+1
·
Publicado
2020-03-25
·
Atualizado
2024-03-06
·
CVE-2020-2164
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Artifactory versões 3.5.0 e anteriores
Descrição
O problema está relacionado ao armazenamento da senha do servidor Artifactory em texto simples no arquivo de configuração global. Isso permite que usuários com acesso ao sistema de arquivos do Jenkins master visualizem a senha. A vulnerabilidade pode ser explorada por um invasor remoto para obter credenciais. A senha é armazenada sem criptografia no arquivo
org.jfrog.hudson.ArtifactoryBuilder.xml.Recomendações
Para as versões 3.5.0 e anteriores do plugin Jenkins Artifactory, atualize para a versão 3.6.0 ou posterior, que armazena a senha do servidor Artifactory criptografada.
Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exploração.
Correção
Cleartext Storage of Sensitive Information
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins Artifactory Plugin