CVE-2025-24400

Nome do Software Vulnerável e Versões Afetadas Plugin Jenkins Eiffel Broadcaster versões 2.8.0 a 2.10.2

Descrição A vulnerabilidade permite que atacantes criem uma credencial com o mesmo ID de uma credencial legítima em um armazenamento de credenciais diferente, permitindo-lhes assinar um evento publicado no RabbitMQ com as credenciais legítimas. Isso é possível porque o plugin utiliza o ID da credencial como chave de cache durante as operações de assinatura.

Recomendações Para as versões 2.8.0 a 2.10.2, considere atualizar para a versão 2.10.3, que remove o cache, resolvendo assim a vulnerabilidade. Como medida de contorno temporária, considere restringir o acesso ao armazenamento de credenciais para minimizar o risco de exploração.