CVE-2022-41247

Plugin Jenkins BigPanda Notifier, versões 1.4.0 e anteriores

O problema diz respeito ao armazenamento da chave API do BigPanda de forma não criptografada no arquivo de configuração global no controlador do Jenkins. Esse arquivo pode ser acessado por usuários com permissão para acessar o sistema de arquivos do controlador do Jenkins. O formulário de configuração global também não oculta a chave API, permitindo potencialmente que invasores a observem e capturem. A chave é armazenada no arquivo BigpandaGlobalNotifier.xml como parte da configuração do plugin.

Para as versões 1.4.0 e anteriores do plugin Jenkins BigPanda Notifier, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de a chave API ser visualizada por usuários não autorizados. Como solução temporária, limite o acesso ao arquivo BigpandaGlobalNotifier.xml até que um patch esteja disponível. Além disso, evite exibir a chave API no formulário de configuração global para impedir que ela seja observada e capturada por invasores. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.