Плагин Jenkins Kryptowire Plugin версии 0.2 и ранее хранит ключ API Kryptowire в незашифрованном виде в глобальном файле конфигурации на ко…
Плагин Jenkins Kryptowire Plugin версии 0.2 и ранее хранит ключ API Kryptowire в незашифрованном виде в глобальном файле конфигурации на контроллере Jenkins, где он может быть просмотрен пользователями с доступом к файловой системе контроллера Jenkins [1]. Источники: - [1] https://www.jenkins.io/security/advisory/2025-07-09/#SECURITY-3525
Продукт хранит конфиденциальную информацию в открытом виде в ресурсе, который может быть доступен другой сфере управления.
https://cwe.mitre.org/data/definitions/312.html →Открыть в коллекции CWE →Злоумышленник исследует целевую систему для поиска конфиденциальных данных, встроенных в неё. Эта информация может раскрывать конфиденциальные сведения, такие как номера счетов или отдельные ключи/учётные данные, которые могут использоваться в качестве промежуточного шага в более масштабной атаке.
https://capec.mitre.org/data/definitions/37.html →Открыть в коллекции CAPEC →