PT-2024-4650 · Jenkins · Jenkins Structs Plugin+1
Juan Pablo Santos
·
Publicado
2024-06-18
·
Atualizado
2025-10-10
·
CVE-2024-39458
CVSS v3.1
3.1
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas:
Plugin Jenkins Structs, versões 337.v1b 04ea 4df7c8 e anteriores
Descrição:
O problema está relacionado à exposição acidental de segredos por meio do log padrão do sistema quando o Jenkins Structs Plugin falha ao configurar uma etapa de compilação. Isso ocorre porque o plugin registra uma mensagem de aviso contendo informações de diagnóstico que podem incluir segredos passados como parâmetros da etapa. A exploração dessa vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas.
Recomendações:
Para as versões 337.v1b 04ea 4df7c8 e anteriores do Jenkins Structs Plugin, atualize para a versão 338.v848422169819 ou posterior, que inspeciona os tipos dos parâmetros reais antes de registrar mensagens de aviso e limita as informações de diagnóstico detalhadas a mensagens de log de nível FINE caso haja segredos envolvidos, impedindo sua exibição no log padrão do sistema Jenkins.
Correção
Generation of Error Message Containing Sensitive Information
Information Disclosure
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Structs Plugin