CVE-2022-34803

Plugin Jenkins OpsGenie versões 1.9 e anteriores

O problema diz respeito ao armazenamento de chaves de API de forma não criptografada no arquivo de configuração global e nos arquivos job config.xml no controlador do Jenkins. Essas chaves podem ser acessadas por usuários com permissão de leitura estendida para arquivos job config.xml ou por aqueles com acesso ao sistema de arquivos do controlador do Jenkins. As chaves de API também são transmitidas em texto simples como parte dos formulários de configuração. Isso poderia potencialmente permitir o acesso não autorizado a informações confidenciais.

Para as versões 1.9 e anteriores do plugin Jenkins OpsGenie, como solução temporária, considere restringir o acesso ao arquivo de configuração global com.opsgenie.integration.jenkins.OpsGenieNotifier.xml e aos arquivos config.xml de tarefas para minimizar o risco de exploração. Além disso, limite as permissões dos usuários com permissão de leitura de itens/extensa para reduzir a superfície de ataque. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.