CVE-2022-43426

Plugin Jenkins S3 Explorer, versões 1.0.8 e anteriores

A vulnerabilidade diz respeito ao plugin Jenkins S3 Explorer, no qual o campo de formulário AWS SECRET ACCESS KEY não é mascarado, aumentando o risco de invasores observarem e capturarem esse dado. Essa chave secreta é armazenada criptografada no disco, no arquivo s3explorer.xml, no controlador do Jenkins, como parte de sua configuração. No entanto, nas versões 1.0.8 e anteriores, o formulário de configuração global não oculta o campo AWS SECRET ACCESS KEY.

Para as versões 1.0.8 e anteriores do plugin Jenkins S3 Explorer, considere desativar o plugin até que um patch esteja disponível para impedir que possíveis invasores observem e capturem o AWS SECRET ACCESS KEY. Restrinja o acesso ao formulário de configuração global para minimizar o risco de exploração. Evite usar o campo de formulário AWS SECRET ACCESS KEY no plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.