PT-2022-22359 · Jenkins · Jenkins Elasticsearch Query Plugin+1
Long Nguyen
·
Publicado
2022-06-30
·
Atualizado
2023-11-22
·
CVE-2022-34807
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Elasticsearch Query, versões 1.2 e anteriores
Descrição
O problema diz respeito ao armazenamento de uma senha de forma não criptografada no arquivo de configuração global do controlador Jenkins. Especificamente, a senha é armazenada no arquivo
org.jenkinsci.plugins.elasticsearchquery.ElasticsearchQueryBuilder.xml, tornando-a acessível a usuários com acesso ao sistema de arquivos do controlador Jenkins.Recomendações
Para as versões 1.2 e anteriores do Jenkins Elasticsearch Query Plugin, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição da senha até que uma correção esteja disponível.
Como solução alternativa temporária, restrinja o acesso ao arquivo
org.jenkinsci.plugins.elasticsearchquery.ElasticsearchQueryBuilder.xml para impedir a visualização não autorizada da senha não criptografada.Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Elasticsearch Query Plugin