PT-2024-35375 · Jenkins · Jenkins Openid Connect Authentication Plugin+1

Kevin Guerroudj

Publicado

2024-11-13

Atualizado

2024-11-15

CVE-2024-52553

CVSS v3.1

8.8

Alta

Vetor

AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Plugin de autenticação Jenkins OpenId Connect, versões 4.418.vccc7061f5b 6d e anteriores

Descrição

O problema ocorre porque o plugin não invalida a sessão anterior no momento do login, permitindo que invasores possam usar técnicas de engenharia social para obter acesso de administrador ao Jenkins.

Recomendações

Para o plugin de autenticação Jenkins OpenId Connect nas versões 4.418.vccc7061f5b 6d e anteriores, atualize para a versão 4.421.v5422614eb e0a ou posterior para garantir que a sessão existente seja invalidada no login.

Correção

Insufficient Session Expiration

Session Fixation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-613CWE-384

Identificadores relacionados

CVE-2024-52553

GHSA-H23J-73WW-7594

Produtos afetados

Jenkins

Jenkins Openid Connect Authentication Plugin

PT-2024-35375 · Jenkins · Jenkins Openid Connect Authentication Plugin+1

CVE-2024-52553

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9