Openid Connect Authentication
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.0118
Распределение по критичности
Критический
0
Высокий
5
Средний
3
Низкий
0
Затронутые диапазоны версий
< 2.5< 4.229.vf736b_fec02f4< 4.355.v3a_fb_fca_b_96d4< 4.421.v5422614eb_e0a_< 4.438.440.v3f5f201de5dc≤ 1.4≤ 2.6
Также сопоставлено как (исходные строки): openid_connect_authentication
Топ уязвимостей
CVE-2025-24399Плагин аутентификации Jenkins OpenId Connect 4.452.v2849b_d3945fa_ и более ранние версии, за исключением 4.438.440.v3f5f201de5dc, рассматривают имена пользователей как нечувствительные к регистру, что позволяет злоумышленникам на экземплярах Jenkins, настроенных с чувствительным к регистру поставщиком OpenID Connect, войти как любого пользователя, предоставив имя пользователя, которое отличается только регистром букв, что потенциально дает доступ администратора к Jenkins.
CVE-2024-52553Jenkins OpenId Connect Authentication Plugin 4.418.vccc7061f5b_6d и более ранние версии не делают предыдущий сеанс недействительным при входе в систему.
CVE-2023-24424Jenkins OpenId Connect Authentication Plugin 2.4 и более ранние версии не делают предыдущий сеанс недействительным при входе в систему.
CVE-2024-47807Jenkins OpenId Connect Authentication Plugin 4.354.v321ce67a_1de8 и более ранние версии не проверяют утверждение `iss` (Issuer) ID Token, что позволяет злоумышленникам обойти поток аутентификации, потенциально получив доступ администратора к Jenkins.
CVE-2024-47806Jenkins OpenId Connect Authentication Plugin 4.354.v321ce67a_1de8 и более ранние версии не проверяют утверждение `aud` (Audience) ID Token, что позволяет злоумышленникам обойти поток аутентификации, потенциально получив доступ администратора к Jenkins.
CVE-2023-50770Плагин Jenkins OpenId Connect Authentication 2.6 и более ранние версии хранят пароль локальной учетной записи пользователя, используемой как функция предотвращения блокировки, в восстанавливаемом формате, что позволяет злоумышленникам с доступом к файловой системе контроллера Jenkins восстанавливать пароль в открытом виде, вероятно, получая доступ администратора к Jenkins.
CVE-2023-50771Плагин Jenkins OpenId Connect Authentication 2.6 и более ранние версии неправильно определяют, что URL-адрес перенаправления после входа действительно указывает на Jenkins, что позволяет злоумышленникам выполнять фишинговые атаки.
CVE-2019-1003021В Jenkins OpenId Connect Authentication Plugin 1.4 и более ранних версиях в OicSecurityRealm/config.jelly существует уязвимость раскрытия конфиденциальной информации, которая позволяет злоумышленникам, способным просматривать вывод веб-браузера администратора Jenkins или контролировать браузер (например, вредоносное расширение), получать настроенный секрет клиента.