CVE-2022-34213

BAIX: (3.3)

CVSS3: 2.9

El plugin Jenkins Esquaix TM Publisher (Squash4Jenkins) podria permetre a un atacant local autenticat obtenir informació sensible, a causa de l’emmagatzematge de contrasenyes d’usuari sense xifrar en el seu arxiu de configuració global org.jenkinsci.squashtm.core.SquashTMPublisher.xml. En obtenir accés a l’arxiu de configuració, un atacant podria explotar aquesta vulnerabilitat per a aconseguir informació sensible, i utilitzar aquesta informació per a llançar altres atacs contra el sistema afectat.

Sistemes Afectats

• Jenkins Squash TM Publisher (Squash4Jenkins) Plugin 1.0.0

Remediació
Consulta l’avís de seguretat 2022-06-22 de Jenkins per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://www.jenkins.io/security/advisory/2022-06-22/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34213