PT-2022-25771 · Jenkins · Jenkins Cons3Rt Plugin+1
Kevin Guerroudj
+1
·
Publicado
2022-09-21
·
Atualizado
2025-05-28
·
CVE-2022-41255
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins CONS3RT, versões 1.0.0 e anteriores
Descrição
A vulnerabilidade permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins visualizem o token da API do Cons3rt, que é armazenado sem criptografia nos arquivos
config.xml das tarefas no controlador do Jenkins. Esse token faz parte da configuração do plugin.Recomendações
Para as versões 1.0.0 e anteriores do plugin Jenkins CONS3RT, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de o token da API Cons3rt ser visualizado por usuários não autorizados.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Cons3Rt Plugin