PT-2022-14830 · Jenkins · Jenkins Metrics Plugin+1
Wasin Saengow
·
Publicado
2022-01-12
·
Atualizado
2023-11-30
·
CVE-2022-20621
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Metrics, versões 4.0.2.8 e anteriores
Descrição
A vulnerabilidade permite que uma chave de acesso seja armazenada sem criptografia no arquivo de configuração global no controlador do Jenkins. Essa chave de acesso pode ser visualizada por usuários com acesso ao sistema de arquivos do controlador do Jenkins. O arquivo
jenkins.metrics.api.MetricsAccessKey.xml é especificamente mencionado como parte da configuração onde essa chave de acesso é armazenada.Recomendações
Para as versões 4.0.2.8 e anteriores do Jenkins Metrics Plugin, considere atualizar para a versão 4.0.2.8.1 ou posterior, pois ela armazena a chave de acesso criptografada assim que a configuração é salva novamente.
Como solução alternativa temporária, restrinja o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de a chave de acesso ser visualizada por usuários não autorizados.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Metrics Plugin