PT-2022-22358 · Jenkins · Jenkins Jigomerge Plugin+1
Long Nguyen
·
Publicado
2022-06-30
·
Atualizado
2023-11-22
·
CVE-2022-34806
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Jigomerge, versões 0.9 e anteriores
Descrição
A vulnerabilidade permite que senhas sejam armazenadas sem criptografia nos arquivos
config.xml das tarefas no controlador do Jenkins. Usuários com permissão de leitura estendida ou acesso ao sistema de arquivos do controlador do Jenkins podem visualizar essas senhas.Recomendações
Para as versões 0.9 e anteriores do plugin Jenkins Jigomerge, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar a permissão de leitura estendida para minimizar o risco de exposição de senhas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Jigomerge Plugin