CVE-2022-34808

Plugin Jenkins Cisco Spark, versões 1.1.1 e anteriores

O problema está relacionado ao armazenamento de tokens de portador de forma não criptografada no arquivo de configuração global org.jenkinsci.plugins.spark.SparkNotifier.xml no controlador do Jenkins. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações confidenciais. Usuários com acesso ao sistema de arquivos do controlador do Jenkins podem visualizar esses tokens de portador.

Para as versões 1.1.1 e anteriores do plugin Jenkins Cisco Spark, considere remover ou criptografar os tokens de portador armazenados no arquivo org.jenkinsci.plugins.spark.SparkNotifier.xml para impedir o acesso não autorizado. Como solução alternativa temporária, restrinja o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.