CVE-2022-34800

Plugin Jenkins Build Notifications, versões 1.5.0 e anteriores

A vulnerabilidade permite que usuários com acesso ao sistema de arquivos do controlador Jenkins visualizem tokens armazenados sem criptografia nos arquivos de configuração global do plugin. Especificamente, vários tokens são armazenados sem criptografia, incluindo o token do aplicativo Pushover em tools.devnull.jenkins.plugins.buildnotifications. PushoverNotifier.xml, o token do bot do Slack em tools.devnull.jenkins.plugins.buildnotifications.SlackNotifier.xml e o token do bot do Telegram em tools.devnull.jenkins.plugins.buildnotifications.TelegramNotifier.xml.

Para as versões 1.5.0 e anteriores do plugin Jenkins Build Notifications, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins para minimizar o risco de exposição dos tokens. Como solução temporária, restrinja o acesso aos arquivos de configuração tools.devnull.jenkins.plugins.buildnotifications. PushoverNotifier.xml, tools.devnull.jenkins.plugins.buildnotifications.SlackNotifier.xml e tools.devnull.jenkins.plugins.buildnotifications.TelegramNotifier.xml para impedir a visualização não autorizada dos tokens. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.