Описание
An exposure of sensitive information vulnerability exists in Jenkins OpenId Connect Authentication Plugin 1.4 and earlier in OicSecurityRealm/config.jelly that allows attackers able to view a Jenkins administrator's web browser output, or control the browser (e.g. malicious extension) to retrieve the configured client secret.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 1.4 (включая)
cpe:2.3:a:jenkins:openid_connect_authentication:*:*:*:*:*:jenkins:*:*
EPSS
Процентиль: 11%
0.00038
Низкий
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-200
Связанные уязвимости
CVSS3: 4.3
github
больше 3 лет назад
Jenkins OpenId Connect Authentication Plugin showed plain text client secret in configuration form
EPSS
Процентиль: 11%
0.00038
Низкий
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-200