PT-2025-9860 · Jenkins+1 · Jenkins+1
Daniel Beck
·
Publicado
2025-03-05
·
Atualizado
2025-06-24
·
CVE-2025-27623
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Jenkins 2.499 e anteriores, versões LTS 2.492.1 e anteriores
Descrição
O problema permite que atacantes com permissão de Visualização/Leitura visualizem valores criptografados de segredos ao acessar o
config.xml das visualizações via REST API ou CLI. Isso ocorre porque o Jenkins não oculta valores criptografados de segredos nas versões especificadas.Recomendações
Para versões do Jenkins 2.499 e anteriores, atualize para a versão 2.500 ou posterior para ocultar valores criptografados de segredos armazenados no
config.xml das visualizações acessado via REST API ou CLI para usuários sem permissão de Visualização/Configuração.
Para versões LTS 2.492.1 e anteriores, atualize para a versão 2.492.2 ou posterior para ocultar valores criptografados de segredos armazenados no config.xml das visualizações acessado via REST API ou CLI para usuários sem permissão de Visualização/Configuração.Correção
Information Disclosure
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Red Os