GHSA-9m92-qwpc-qm78

Опубликовано: 16 мая 2023

Источник: github

Github: Прошло ревью

CVSS3: 4.8

Описание

Jenkins SAML Single Sign On(SSO) Plugin unconditionally disables SSL/TLS certificate validation

Jenkins SAML Single Sign On(SSO) Plugin 2.1.0 and earlier unconditionally disables SSL/TLS certificate validation for connections to miniOrange or the configured IdP to retrieve SAML metadata.

This lack of validation could be abused using a man-in-the-middle attack to intercept these connections.

SAML Single Sign On(SSO) Plugin 2.2.0 performs SSL/TLS certificate validation when connecting to miniOrange or the configured IdP to retrieve SAML metadata.

Ссылки

Пакеты

Наименование

io.jenkins.plugins:miniorange-saml-sp

maven

Затронутые версииВерсия исправления

< 2.2.0

2.2.0

EPSS

Процентиль: 32%

0.00127

Низкий

4.8 Medium

CVSS3

CVE ID

CVE-2023-32994

Дефекты

CWE-295

Связанные уязвимости

CVE-2023-32994

CVSS3: 3.7

nvd

больше 2 лет назад

Jenkins SAML Single Sign On(SSO) Plugin 2.1.0 and earlier unconditionally disables SSL/TLS certificate validation for connections to miniOrange or the configured IdP to retrieve SAML metadata, which could be abused using a man-in-the-middle attack to intercept these connections.

BDU:2023-04086

CVSS3: 3.7

fstec

больше 2 лет назад

Уязвимость плагина Jenkins SAML Single Sign On(SSO), связанная с отсутствием проверки сертификата SSL/TLS, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 32%

0.00127

Низкий

4.8 Medium

CVSS3

CVE ID

CVE-2023-32994

Дефекты

CWE-295