PT-2022-22360 · Jenkins · Jenkins Rqm Plugin+1
S0Nnguy3N
+1
·
Publicado
2022-06-30
·
Atualizado
2023-11-22
·
CVE-2022-34809
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins RQM versões 2.8 e anteriores
Descrição
O problema diz respeito ao armazenamento de uma senha de forma não criptografada no arquivo de configuração global do controlador do Jenkins. Especificamente, a senha é armazenada no arquivo
net.praqma.jenkins.rqm.RqmBuilder.xml. Essa senha não criptografada pode ser acessada por usuários que tenham permissão para visualizar o sistema de arquivos do controlador Jenkins.Recomendações
Para as versões 2.8 e anteriores do plugin Jenkins RQM, considere atualizar para uma versão que criptografe adequadamente as senhas no arquivo de configuração global, a fim de impedir o acesso não autorizado. Como solução temporária, restrinja o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de a senha não criptografada ser visualizada por usuários não autorizados.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Rqm Plugin