PT-2022-22354 · Jenkins · Jenkins Rocketchat Notifier Plugin+1
Long Nguyen
·
Publicado
2022-06-30
·
Atualizado
2023-11-22
·
CVE-2022-34802
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins RocketChat Notifier, versões 1.5.2 e anteriores
Descrição
O problema diz respeito ao armazenamento de informações confidenciais no arquivo de configuração global do controlador do Jenkins. Especificamente, a senha de login e o token do webhook são armazenados sem criptografia, permitindo que usuários com acesso ao sistema de arquivos do controlador do Jenkins os visualizem. O arquivo de configuração em questão é o
RocketChatNotifier.xml.Recomendações
Para as versões 1.5.2 e anteriores do plugin Jenkins RocketChat Notifier, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição de informações confidenciais. Como solução temporária, limite o acesso dos usuários ao arquivo
RocketChatNotifier.xml até que uma solução de armazenamento segura seja implementada.Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Rocketchat Notifier Plugin