PT-2022-22357 · Jenkins · Jenkins Skype Notifier Plugin+1
S0Nnguy3N
+1
·
Publicado
2022-06-30
·
Atualizado
2023-11-22
·
CVE-2022-34805
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Skype Notifier, versões 1.1.0 e anteriores
Descrição
O problema diz respeito ao armazenamento de uma senha de forma não criptografada no arquivo de configuração global do controlador Jenkins. Essa senha é armazenada no arquivo
hudson.plugins.skype.im.transport.SkypePublisher.xml como parte da configuração do plugin e pode ser acessada por usuários com acesso ao sistema de arquivos do controlador Jenkins.Recomendações
Para as versões 1.1.0 e anteriores do plugin Jenkins Skype Notifier, considere remover ou criptografar a senha armazenada no arquivo
hudson.plugins.skype.im.transport.SkypePublisher.xml para impedir o acesso não autorizado.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Skype Notifier Plugin