PT-2022-27949 · Jenkins · Jenkins Git Plugin
Asi Greenholts
·
Publicado
2022-12-07
·
Atualizado
2024-03-06
·
CVE-2022-46685
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Gitea versões 1.4.4 e anteriores
Descrição
A implementação dos tokens de acesso pessoal do Gitea no plugin Jenkins Gitea não oferecia suporte ao mascaramento de credenciais, o que poderia expô-las através do log de compilação. Recomenda-se que os administradores que não possam atualizar o plugin utilizem o checkout via SSH como alternativa.
Recomendações
Para as versões 1.4.4 e anteriores do plugin Jenkins Gitea, atualize para a versão 1.4.5 ou posterior, que adiciona suporte para o mascaramento de tokens de acesso pessoal do Gitea.
Como solução alternativa temporária para administradores que não conseguem atualizar, considere usar o checkout via SSH em vez dos tokens de acesso pessoal do Gitea.
Correção
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins Git Plugin