Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Jenkins OpenId Connect (CVE-2025-24399)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/01/2025
Última modificación:
07/05/2025

Descripción

El complemento de autenticación de Jenkins OpenId Connect 4.452.v2849b_d3945fa_ y anteriores, excepto 4.438.440.v3f5f201de5dc, trata los nombres de usuario como si no distinguieran entre mayúsculas y minúsculas, lo que permite a los atacantes en instancias de Jenkins configuradas con un proveedor de OpenID Connect que distinga entre mayúsculas y minúsculas iniciar sesión como cualquier usuario al proporcionar un nombre de usuario que difiere solo en mayúsculas y minúsculas, lo que potencialmente les permite obtener acceso de administrador a Jenkins.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jenkins:openid_connect_authentication:*:*:*:*:*:jenkins:*:* 4.438.440.v3f5f201de5dc (excluyendo)
cpe:2.3:a:jenkins:openid_connect_authentication:*:*:*:*:*:jenkins:*:* 4.444.vd4c54f157201 (incluyendo) 4.453.v4d7765c854f4 (excluyendo)


Referencias a soluciones, herramientas e información