PT-2022-22351 · Jenkins · Jenkins Deployment Dashboard Plugin+1
Long Nguyen
·
Publicado
2022-06-30
·
Atualizado
2023-11-22
·
CVE-2022-34799
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Deployment Dashboard, versões 1.0.10 e anteriores
Descrição
O problema diz respeito ao armazenamento de uma senha de forma não criptografada no arquivo de configuração global no controlador do Jenkins. Esse arquivo, especificamente
de.codecentric.jenkins.dashboard.DashboardView.xml, contém a senha como parte de sua configuração. Usuários com acesso ao sistema de arquivos do controlador do Jenkins podem visualizar essa senha.Recomendações
Para as versões 1.0.10 e anteriores do plugin Jenkins Deployment Dashboard, considere remover ou criptografar a senha armazenada no arquivo
de.codecentric.jenkins.dashboard.DashboardView.xml para impedir o acesso não autorizado. Como solução temporária, restrinja o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de a senha ser visualizada por usuários não autorizados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Deployment Dashboard Plugin