CVE-2019-10443

High

Jenkins iceScrum Plugin 1.1.4 and earlier stored credentials unencrypted in job config.xml files on the Jenkins master where they could be…

jenkins·CWE-312·Published 2019-10-16

CVSS

8.8

EPSS

0.02

KEV

Exploits

cve.orgen

222 chars

Jenkins iceScrum Plugin 1.1.4 and earlier stored credentials unencrypted in job config.xml files on the Jenkins master where they could be viewed by users with Extended Read permission, or access to the master file system.

NVDen

222 chars

OSV.deven

222 chars

GHSAen

222 chars

NVDes

287 chars

Jenkins iceScrum Plugin versión 1.1.4 y anteriores, almacenó las credenciales no encriptadas en los archivos de trabajo config.xml en el maestro de Jenkins, donde pueden ser visualizadas por parte de los usuarios con permiso de Lectura Extendida o acceder al sistema de archivos maestro.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	4.0	8.0	2.9	AV:N/AC:L/Au:S/C:P/I:N/A:N
3.1	Primary	NVD	8.8	2.8	5.9	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
3.1	Secondary	GHSA	8.8	—	—	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H