PT-2022-15851 · Hashicorp+1 · Jenkins Hashicorp Vault Plugin+1
Jasen Minton
·
Publicado
2022-01-12
·
Atualizado
2023-11-15
·
CVE-2022-23109
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins HashiCorp Vault, versões 3.7.0 e anteriores
Descrição
O problema diz respeito ao plugin Jenkins HashiCorp Vault, no qual as credenciais do Vault não são ocultadas nos registros de compilação do Pipeline nem nas descrições das etapas do Pipeline quando o plugin Pipeline: Groovy 2.85 ou posterior está instalado. Isso pode potencialmente expor informações confidenciais.
Recomendações
Para o plugin Jenkins HashiCorp Vault nas versões 3.7.0 e anteriores, atualize para uma versão posterior à 3.7.0 para garantir que as credenciais do Vault sejam devidamente mascaradas nos logs de compilação do Pipeline e nas descrições das etapas.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Hashicorp Vault Plugin