Описание
Уязвимость плагина Jenkins SAML Single Sign On(SSO) связана с отсутствием проверки сертификата SSL/TLS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию
Вендор
Jenkins
Наименование ПО
SAML Single Sign On
Версия ПО
до 2.1.0 включительно (SAML Single Sign On)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости
Использование рекомендаций производителей:
https://www.jenkins.io/security/advisory/2023-05-16/#SECURITY-3001%20(2)
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 32%
0.00127
Низкий
3.7 Low
CVSS3
2.6 Low
CVSS2
Связанные уязвимости
CVSS3: 3.7
nvd
больше 2 лет назад
Jenkins SAML Single Sign On(SSO) Plugin 2.1.0 and earlier unconditionally disables SSL/TLS certificate validation for connections to miniOrange or the configured IdP to retrieve SAML metadata, which could be abused using a man-in-the-middle attack to intercept these connections.
CVSS3: 4.8
github
больше 2 лет назад
Jenkins SAML Single Sign On(SSO) Plugin unconditionally disables SSL/TLS certificate validation
EPSS
Процентиль: 32%
0.00127
Низкий
3.7 Low
CVSS3
2.6 Low
CVSS2