PT-2022-22072 · Jenkins · Jenkins Easyqa Plugin+1
Justin Philip
+1
·
Publicado
2022-06-22
·
Atualizado
2023-11-03
·
CVE-2022-34202
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins EasyQA, versões 1.0 e anteriores
Descrição
O problema diz respeito ao armazenamento de senhas de usuários de forma não criptografada no arquivo de configuração global do controlador Jenkins. Especificamente, as senhas são armazenadas no arquivo
EasyQAPluginProperties.xml como parte da configuração do plugin. Isso permite que usuários com acesso ao sistema de arquivos do controlador Jenkins visualizem essas senhas.Recomendações
Para as versões 1.0 e anteriores do plugin Jenkins EasyQA, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição das senhas. Como solução temporária, limite os privilégios dos usuários que têm acesso ao sistema de arquivos até que um método seguro de armazenamento de senhas seja implementado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Easyqa Plugin