Vulnerabilidad en Jenkins OpenId Connect (CVE-2025-24399)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/01/2025
Última modificación:
07/05/2025
Descripción
El complemento de autenticación de Jenkins OpenId Connect 4.452.v2849b_d3945fa_ y anteriores, excepto 4.438.440.v3f5f201de5dc, trata los nombres de usuario como si no distinguieran entre mayúsculas y minúsculas, lo que permite a los atacantes en instancias de Jenkins configuradas con un proveedor de OpenID Connect que distinga entre mayúsculas y minúsculas iniciar sesión como cualquier usuario al proporcionar un nombre de usuario que difiere solo en mayúsculas y minúsculas, lo que potencialmente les permite obtener acceso de administrador a Jenkins.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:jenkins:openid_connect_authentication:*:*:*:*:*:jenkins:*:* | 4.438.440.v3f5f201de5dc (excluyendo) | |
cpe:2.3:a:jenkins:openid_connect_authentication:*:*:*:*:*:jenkins:*:* | 4.444.vd4c54f157201 (incluyendo) | 4.453.v4d7765c854f4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página