Описание
Jenkins OpenId Connect Authentication Plugin 4.452.v2849b_d3945fa_ and earlier, except 4.438.440.v3f5f201de5dc, treats usernames as case-insensitive, allowing attackers on Jenkins instances configured with a case-sensitive OpenID Connect provider to log in as any user by providing a username that differs only in letter case, potentially gaining administrator access to Jenkins.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 4.438.440.v3f5f201de5dc (исключая)Версия от 4.444.vd4c54f157201 (включая) до 4.453.v4d7765c854f4 (исключая)
Одно из
cpe:2.3:a:jenkins:openid_connect_authentication:*:*:*:*:*:jenkins:*:*
cpe:2.3:a:jenkins:openid_connect_authentication:*:*:*:*:*:jenkins:*:*
EPSS
Процентиль: 57%
0.00346
Низкий
8.8 High
CVSS3
Дефекты
CWE-276
Связанные уязвимости
CVSS3: 8.8
github
около 1 года назад
Improper handling of case sensitivity in Jenkins OpenId Connect Authentication Plugin
EPSS
Процентиль: 57%
0.00346
Низкий
8.8 High
CVSS3
Дефекты
CWE-276