CVE-2021-21614

Plugin Jenkins Bumblebee HP ALM, versões 4.1.5 e anteriores

O problema diz respeito ao armazenamento de credenciais de forma não criptografada no arquivo de configuração global do controlador Jenkins. Especificamente, as credenciais são armazenadas no arquivo com.agiletestware.bumblebee.BumblebeeGlobalConfig.xml. Usuários com acesso ao sistema de arquivos do controlador Jenkins podem visualizar essas credenciais. Observa-se que, na versão 4.1.6, as credenciais são armazenadas criptografadas assim que a configuração é salva novamente.

Para as versões 4.1.5 e anteriores do plugin Jenkins Bumblebee HP ALM, atualize para a versão 4.1.6 ou posterior para garantir que as credenciais sejam armazenadas de forma criptografada. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição das credenciais.