PT-2022-18293 · Jenkins · Jenkins Gitlab Authentication Plugin+1
Marc Heyries
+1
·
Publicado
2022-03-15
·
Atualizado
2023-11-15
·
CVE-2022-27206
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin de autenticação do Jenkins para GitLab, versões 1.13 e anteriores
Descrição
O problema diz respeito ao armazenamento do segredo do cliente GitLab de forma não criptografada no arquivo global config.xml do controlador do Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins visualizem o segredo do cliente.
Recomendações
Para as versões 1.13 e anteriores do Plugin de Autenticação GitLab do Jenkins, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins para minimizar o risco de o segredo do cliente ser visualizado por usuários não autorizados.
Como solução temporária, considere criptografar manualmente o segredo do cliente GitLab até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Encryption of Sensitive Data
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Gitlab Authentication Plugin