CVE-2025-24397

Nome do Software Vulnerável e Versões Afetadas Plugin Jenkins GitLab versões 1.9.6 e anteriores

Descrição O problema está relacionado a uma verificação de permissão incorreta no Plugin Jenkins GitLab. Isso permite que atacantes com permissão global Item/Configure, mas sem permissão Item/Configure em qualquer job específico, enumerem os IDs de credenciais de token da API do GitLab e credenciais de texto secreto armazenadas no Jenkins. Esses IDs de credenciais podem ser usados como parte de um ataque para capturar as credenciais utilizando outra vulnerabilidade.

Recomendações Para as versões 1.9.6 e anteriores do Plugin Jenkins GitLab, atualize para a versão 1.9.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à permissão global Item/Configure para minimizar o risco de exploração. Além disso, restrinja o acesso ao endpoint HTTP relacionado ao Plugin GitLab para prevenir a enumeração de IDs de credenciais.