PT-2022-22368 · Hewlett Packard+1 · Jenkins Hpe Network Virtualization Plugin+1
Long Nguyen
·
Publicado
2022-06-30
·
Atualizado
2023-11-22
·
CVE-2022-34816
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Jenkins HPE Network Virtualization Plugin versão 1.0
Descrição
O problema diz respeito ao armazenamento de senhas de forma não criptografada no arquivo de configuração global do controlador Jenkins. Especificamente, o arquivo
org.jenkinsci.plugins.nvemulation.plugin.NvEmulationBuilder.xml contém essas senhas não criptografadas como parte de sua configuração. Usuários com acesso ao sistema de arquivos do controlador Jenkins podem visualizar essas senhas.Recomendações
Para o Jenkins HPE Network Virtualization Plugin versão 1.0, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição de senhas. Como solução alternativa temporária, limite os privilégios dos usuários que têm acesso ao sistema de arquivos para reduzir possíveis danos.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Hpe Network Virtualization Plugin