PT-2025-14517 · Jenkins · Jenkins Asakusasatellite Plugin+1

Romuald Moisan

+1

·

Publicado

2025-04-02

·

Atualizado

2025-04-17

·

CVE-2025-31727

CVSS v2.0

6.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:P
Nome do Software Vulnerável e Versões Afetadas Versões 0.1.1 e anteriores do Plugin Jenkins AsakusaSatellite
Descrição O problema diz respeito ao armazenamento de chaves de API do AsakusaSatellite de forma não criptografada em arquivos config.xml de jobs no controlador Jenkins. Isso permite que usuários com a permissão Item/Extended Read ou com acesso ao sistema de arquivos do controlador Jenkins visualizem essas chaves.
Recomendações Para as versões 0.1.1 e anteriores do Plugin Jenkins AsakusaSatellite, considere restringir o acesso ao sistema de arquivos do controlador Jenkins e limitar as permissões Item/Extended Read para minimizar a exposição das chaves de API do AsakusaSatellite não criptografadas até que uma correção esteja disponível.

Correção

Cleartext Storage of Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-312CWE-549

Identificadores relacionados

BDU:2025-03849
CVE-2025-31727
GHSA-FV9Q-FQ62-C6QG

Produtos afetados

Jenkins
Jenkins Asakusasatellite Plugin