GHSA-2wxq-944j-5g2v

Опубликовано: 02 апр. 2025

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins Stack Hammer Plugin Stores API Keys Unencrypted in Job config.xml Files

Jenkins Stack Hammer Plugin 1.0.6 and earlier stores Stack Hammer API keys unencrypted in job config.xml files on the Jenkins controller as part of its configuration.

These API keys can be viewed by users with Item/Extended Read permission or access to the Jenkins controller file system.

As of publication of this advisory, there is no fix.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:stackhammer

maven

Затронутые версииВерсия исправления

<= 1.0.6

Отсутствует

EPSS

Процентиль: 32%

0.00122

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-31726

Дефекты

CWE-312

Связанные уязвимости

CVE-2025-31726

CVSS3: 5.5

nvd

10 месяцев назад

Jenkins Stack Hammer Plugin 1.0.6 and earlier stores Stack Hammer API keys unencrypted in job config.xml files on the Jenkins controller where they can be viewed by users with Extended Read permission, or access to the Jenkins controller file system.

BDU:2025-03822

CVSS3: 5.5

fstec

10 месяцев назад

Уязвимость плагина Stack Hammer сервера автоматизации Jenkins, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 32%

0.00122

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-31726

Дефекты

CWE-312