CVE-2022-27195

Plugin Jenkins Parameterized Trigger, versões 2.43 e anteriores

O problema diz respeito à captura e ao armazenamento de variáveis de ambiente, incluindo valores de parâmetros de senha, nos arquivos build.xml pelo plugin Jenkins Parameterized Trigger. Esses valores são armazenados sem criptografia e podem ser acessados por usuários com permissão para acessar o sistema de arquivos do controlador do Jenkins. O problema também envolve arquivos build.xml existentes que não são atualizados automaticamente para remover variáveis de ambiente capturadas, exigindo limpeza manual. O plugin reporta as variáveis de ambiente armazenadas como dados não carregáveis no Old Data Monitor, permitindo sua remoção.

Para as versões 2.43 e anteriores do Jenkins Parameterized Trigger Plugin, faça a limpeza manual dos arquivos build.xml existentes para remover as variáveis de ambiente capturadas. Utilize o Old Data Monitor para identificar e descartar as variáveis de ambiente armazenadas. Considere restringir o acesso ao sistema de arquivos do controlador do Jenkins para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.