PT-2022-17120 · Jenkins · Jenkins Pipeline: Groovy Plugin+1

James Nord

·

Publicado

2022-02-15

·

Atualizado

2023-11-30

·

CVE-2022-25180

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Groovy, versões 2648.va9433432b33c e anteriores
Descrição
A vulnerabilidade permite que invasores com permissão de Execução/Repetição obtenham os valores dos parâmetros de senha passados para compilações anteriores de um Pipeline, uma vez que os parâmetros de senha da compilação original são incluídos nas compilações repetidas.
Recomendações
Para as versões 2648.va9433432b33c e anteriores, atualize para uma versão que não permita que compilações contendo parâmetros de senha sejam reproduzidas, como o Pipeline: Groovy Plugin 2656.vf7a e7b 75a 457.
Como solução alternativa temporária, considere restringir a permissão Executar/Reproduzir para minimizar o risco de exploração.

Correção

Insufficiently Protected Credentials

Cleartext Transmission of Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-522CWE-319

Identificadores relacionados

CVE-2022-25180
GHSA-QV6Q-X9VR-W7J3
RHSA-2022:0871
RHSA-2022:1021
RHSA-2022:1025
RHSA-2022:1248
RHSA-2022:1420
RHSA-2022:1620

Produtos afetados

Jenkins
Jenkins Pipeline: Groovy Plugin