PT-2022-18833 · Jenkins · Jenkins Instant-Messaging Plugin+1
S0Nnguy3N
+1
·
Publicado
2022-03-29
·
Atualizado
2023-12-21
·
CVE-2022-28135
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin de mensagens instantâneas do Jenkins, versões 1.41 e anteriores
Descrição
A vulnerabilidade permite que senhas de chats em grupo sejam armazenadas sem criptografia no arquivo de configuração global dos plugins baseados no plugin de mensagens instantâneas do Jenkins no controlador do Jenkins. Essas senhas podem ser visualizadas por usuários com acesso ao sistema de arquivos do controlador do Jenkins.
Recomendações
Para as versões 1.41 e anteriores, atualize para uma versão que corrija o problema, a fim de impedir o armazenamento não criptografado de senhas de bate-papos em grupo. Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição das senhas.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Instant-Messaging Plugin