PT-2025-14516 · Jenkins · Jenkins Stack Hammer Plugin+1

Romuald Moisan

Publicado

2025-04-02

Atualizado

2025-04-17

CVE-2025-31726

CVSS v2.0

6.5

Média

Vetor

AV:N/AC:L/Au:S/C:P/I:P/A:P

Nome do Software Vulnerável e Versões Afetadas Versões 1.0.6 e anteriores do Plugin Jenkins Stack Hammer

Descrição O problema diz respeito ao armazenamento das chaves de API do Stack Hammer de forma não criptografada dentro dos arquivos config.xml das jobs no controlador Jenkins. Isso permite que usuários com a permissão Extended Read ou acesso ao sistema de arquivos do controlador Jenkins visualizem essas chaves.

Recomendações Para as versões 1.0.6 e anteriores do Plugin Jenkins Stack Hammer, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar as permissões Extended Read para minimizar a exposição das chaves de API do Stack Hammer não criptografadas até que uma correção esteja disponível.

Correção

Improper Access Control

Cleartext Storage of Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-312

Identificadores relacionados

BDU:2025-03822

CVE-2025-31726

GHSA-2WXQ-944J-5G2V

Produtos afetados

Jenkins

Jenkins Stack Hammer Plugin

PT-2025-14516 · Jenkins · Jenkins Stack Hammer Plugin+1

CVE-2025-31726

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 11