Описание
Jenkins Azure AD Plugin 396.v86ce29279947 and earlier, except 378.380.v545b_1154b_3fb_, uses a non-constant time comparison function when checking whether the provided and expected CSRF protection nonce are equal, potentially allowing attackers to use statistical methods to obtain a valid nonce.
Ссылки
- Mailing ListThird Party Advisory
- Vendor Advisory
- Mailing ListThird Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 348.vefd011eea_20b (включая)Версия от 378.vd6e2874a_69eb (включая) до 396.v86ce29279947 (включая)
Одно из
cpe:2.3:a:jenkins:azure_ad:*:*:*:*:*:jenkins:*:*
cpe:2.3:a:jenkins:azure_ad:*:*:*:*:*:jenkins:*:*
EPSS
Процентиль: 27%
0.00098
Низкий
7.5 High
CVSS3
Дефекты
CWE-697
Связанные уязвимости
CVSS3: 7.5
github
больше 2 лет назад
Non-constant time nonce comparison in Jenkins Microsoft Entra ID (previously Azure AD) Plugin
EPSS
Процентиль: 27%
0.00098
Низкий
7.5 High
CVSS3
Дефекты
CWE-697