PT-2025-14514 · Jenkins · Jenkins Cadence Vmanager Plugin+1

Romuald Moisan

+1

·

Publicado

2025-04-02

·

Atualizado

2025-04-17

·

CVE-2025-31724

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Plugin Jenkins Cadence vManager versões 4.0.0-282.v5096a c2db 275 e anteriores
Descrição O problema diz respeito ao armazenamento de chaves vAPI do Verisium Manager em forma não criptografada dentro de arquivos config.xml dos jobs no controlador Jenkins. Essas chaves podem ser acessadas por usuários que possuem a permissão Extended Read ou acesso direto ao sistema de arquivos do controlador Jenkins.
Recomendações Para as versões 4.0.0-282.v5096a c2db 275 e anteriores, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar as permissões Extended Read para minimizar a exposição das chaves vAPI não criptografadas até que uma correção esteja disponível.

Correção

Cleartext Storage of Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-312CWE-256

Identificadores relacionados

BDU:2025-03791
CVE-2025-31724
GHSA-X9HJ-Q7XV-FV4V

Produtos afetados

Jenkins
Jenkins Cadence Vmanager Plugin