GHSA-8pjw-fff6-3mjv

Опубликовано: 02 окт. 2024

Источник: github

Github: Прошло ревью

CVSS4: 9.2

CVSS3: 8.1

Описание

Jenkins OpenId Connect Authentication Plugin lacks issuer claim validation

Jenkins OpenId Connect Authentication Plugin 4.354.v321ce67a_1de8 and earlier does not check the iss (Issuer) claim of an ID Token during its authentication flow, a value that identifies the Originating Party (IdP).

This vulnerability may allow attackers to subvert the authentication flow, potentially gaining administrator access to Jenkins.

OpenId Connect Authentication Plugin 4.355.v3a_fb_fca_b_96d4 checks the iss (Issuer) claim of an ID Token during its authentication flow when the Issuer is known.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:oic-auth

maven

Затронутые версииВерсия исправления

< 4.355.v3a

4.355.v3a

EPSS

Процентиль: 46%

0.00235

Низкий

9.2 Critical

CVSS4

8.1 High

CVSS3

CVE ID

CVE-2024-47807

Дефекты

CWE-287

Связанные уязвимости

CVE-2024-47807

CVSS3: 8.1

nvd

больше 1 года назад

Jenkins OpenId Connect Authentication Plugin 4.354.v321ce67a_1de8 and earlier does not check the `iss` (Issuer) claim of an ID Token, allowing attackers to subvert the authentication flow, potentially gaining administrator access to Jenkins.

BDU:2024-09497

CVSS3: 8.1

fstec

больше 1 года назад

Уязвимость плагина Jenkins OpenId Connect, связанная с недостатками процедуры аутентификации, позволяющая нарушителю обойти процесс аутентификации

EPSS

Процентиль: 46%

0.00235

Низкий

9.2 Critical

CVSS4

8.1 High

CVSS3

CVE ID

CVE-2024-47807

Дефекты

CWE-287