PT-2024-4651 · Jenkins · Jenkins Credentials Plugin+1
Jason Stangroome
·
Publicado
2024-06-19
·
Atualizado
2024-11-01
·
CVE-2024-39459
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas:
Plugin Jenkins Plain Credentials, versões 182.v468b 97b 9dcb 8 e anteriores
Descrição:
O problema está relacionado ao armazenamento de credenciais em arquivos secretos pelo Jenkins Plain Credentials Plugin. Em casos raros, o plugin armazena essas credenciais sem criptografia, apenas codificadas em Base64, no sistema de arquivos do controlador do Jenkins. Isso permite que usuários com acesso ao sistema de arquivos do controlador do Jenkins ou com permissão de leitura de itens/estendida visualizem as credenciais. A exploração dessa vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas.
Recomendações:
Para as versões 182.v468b 97b 9dcb 8 e anteriores do Jenkins Plain Credentials Plugin, atualize para a versão 183.va de8f1dd5a 2b ou posterior, que não tenta mais descriptografar o conteúdo do arquivo ao criar credenciais de arquivos secretos, resolvendo assim a vulnerabilidade.
Como solução alternativa temporária, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar a permissão de leitura de itens/estendida para minimizar o risco de exploração.
Correção
Cleartext Storage of Sensitive Information
Insecure Storage of Sensitive Information
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Credentials Plugin