PT-2022-24515 · Jenkins · Jenkins Collabnet Plugin+1

S0Nnguy3N

Publicado

2022-08-23

Atualizado

2023-11-02

CVE-2022-38665

CVSS v3.1

6.5

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Nome do software vulnerável e versões afetadas

Plug-in Jenkins CollabNet, versões 2.0.8 e anteriores

Descrição

O problema diz respeito ao armazenamento de uma senha do RabbitMQ de forma não criptografada no arquivo de configuração global do controlador do Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins visualizem a senha.

Recomendações

Para as versões 2.0.8 e anteriores do plugin Jenkins CollabNet Plugins, atualize para uma versão posterior à 2.0.8 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exposição da senha.

Correção

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-522CWE-256

Identificadores relacionados

CVE-2022-38665

GHSA-QH87-2QVH-5JF8

Produtos afetados

Jenkins

Jenkins Collabnet Plugin

PT-2022-24515 · Jenkins · Jenkins Collabnet Plugin+1

CVE-2022-38665

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7