CVE-2024-47805

Plugin Jenkins Credentials, versões 1380.va 435002fa 924 e anteriores, exceto a versão 1371.1373.v4eb fa b 7161e9

A vulnerabilidade diz respeito ao Jenkins Credentials Plugin, que não suprime valores criptografados de credenciais do tipo SecretBytes ao acessar o arquivo config.xml via API REST ou CLI. Isso permite que invasores com permissão de leitura de itens/extensa visualizem valores criptografados de SecretBytes nas credenciais, incluindo credenciais de certificado e credenciais de arquivo secreto do Plain Credentials Plugin. A vulnerabilidade é semelhante a um aviso de segurança anterior de 2016.

Para as versões 1380.va 435002fa 924 e anteriores do Jenkins Credentials Plugin, exceto a versão 1371.1373.v4eb fa b 7161e9, atualize para a versão 1381. v2c3a 12074da b ou posterior, mas certifique-se de que a versão do Jenkins seja 2.479 ou mais recente, ou LTS 2.462.3 ou mais recente, para ocultar efetivamente os valores criptografados das credenciais usando o tipo SecretBytes.

Como solução alternativa temporária, considere restringir o acesso ao arquivo config.xml via API REST ou CLI para minimizar o risco de exploração.