Описание
Jenkins OpenId Connect Authentication Plugin 4.354.v321ce67a_1de8 and earlier does not check the iss (Issuer) claim of an ID Token, allowing attackers to subvert the authentication flow, potentially gaining administrator access to Jenkins.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 4.355.v3a_fb_fca_b_96d4 (исключая)
cpe:2.3:a:jenkins:openid_connect_authentication:*:*:*:*:*:jenkins:*:*
EPSS
Процентиль: 46%
0.00235
Низкий
8.1 High
CVSS3
Дефекты
CWE-287
Связанные уязвимости
CVSS3: 8.1
github
больше 1 года назад
Jenkins OpenId Connect Authentication Plugin lacks issuer claim validation
CVSS3: 8.1
fstec
больше 1 года назад
Уязвимость плагина Jenkins OpenId Connect, связанная с недостатками процедуры аутентификации, позволяющая нарушителю обойти процесс аутентификации
EPSS
Процентиль: 46%
0.00235
Низкий
8.1 High
CVSS3
Дефекты
CWE-287