CVE-2022-41248

Plugin Jenkins BigPanda Notifier, versões 1.4.0 e anteriores

O problema diz respeito ao armazenamento e à exibição da chave da API do BigPanda na configuração do plugin. A chave da API do BigPanda é armazenada sem criptografia no arquivo BigpandaGlobalNotifier.xml no controlador do Jenkins. Essa chave pode ser acessada por usuários com acesso ao sistema de arquivos do controlador do Jenkins. Além disso, o formulário de configuração global não oculta a chave da API, possibilitando que invasores a observem e capturem.

Para as versões 1.4.0 e anteriores do plugin Jenkins BigPanda Notifier, considere restringir o acesso ao sistema de arquivos do controlador do Jenkins para minimizar o risco de a chave da API ser visualizada. Como solução temporária, criptografe manualmente e armazene com segurança a chave API do BigPanda até que um patch esteja disponível. Evite usar o formulário de configuração global do plugin para inserir a chave API até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.