Описание
Jenkins OpenId Connect Authentication Plugin 4.354.v321ce67a_1de8 and earlier does not check the aud (Audience) claim of an ID Token, allowing attackers to subvert the authentication flow, potentially gaining administrator access to Jenkins.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 4.355.v3a_fb_fca_b_96d4 (исключая)
cpe:2.3:a:jenkins:openid_connect_authentication:*:*:*:*:*:jenkins:*:*
EPSS
Процентиль: 40%
0.0018
Низкий
8.1 High
CVSS3
Дефекты
CWE-287
Связанные уязвимости
CVSS3: 8.1
github
больше 1 года назад
Jenkins OpenId Connect Authentication Plugin lacks audience claim validation
EPSS
Процентиль: 40%
0.0018
Низкий
8.1 High
CVSS3
Дефекты
CWE-287