CVE-2022-34804

Plugin Jenkins OpsGenie versões 1.9 e anteriores

O problema diz respeito à transmissão e ao armazenamento de chaves de API em texto simples. Especificamente, as chaves de API são transmitidas em texto simples como parte do formulário de configuração global do Jenkins e dos formulários de configuração de tarefas, o que pode resultar na sua exposição. Além disso, essas chaves são armazenadas sem criptografia no arquivo de configuração global com.opsgenie.integration.jenkins.OpsGenieNotifier.xml e nos arquivos config.xml de tarefas no controlador do Jenkins. Usuários com permissão de leitura de itens/estendida ou acesso ao sistema de arquivos do controlador do Jenkins podem visualizar essas chaves de API.

Para as versões 1.9 e anteriores do plugin Jenkins OpsGenie, como solução alternativa temporária, considere restringir o acesso ao arquivo de configuração global e aos arquivos de configuração de tarefas para minimizar o risco de exposição das chaves de API. Evite usar os arquivos com.opsgenie.integration.jenkins.OpsGenieNotifier.xml e config.xml de tarefas até que uma correção esteja disponível. Restrinja o acesso ao sistema de arquivos do controlador Jenkins para impedir a visualização não autorizada das chaves de API.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.