CVE-2025-47884

Nome do Software Vulnerável e Versões Afetadas: Plug-in Jenkins OpenID Connect Provider versões 96.vee8ed882ec4d e anteriores

Descrição: A vulnerabilidade envolve a geração de Build ID Tokens, que utiliza valores potencialmente sobrescritos de variáveis de ambiente. Isso pode ser explorado por atacantes capazes de configurar jobs, permitindo-lhes forjar um Build ID Token que se passa por um job confiável. Isso poderia potencialmente levar a acesso não autorizado a serviços externos.

Recomendações: Para as versões 96.vee8ed882ec4d e anteriores do Plug-in Jenkins OpenID Connect Provider, considere desativar o recurso de geração de Build ID Token até que um patch esteja disponível para prevenir potenciais ataques de personificação. Restrinja o acesso à configuração de jobs para minimizar o risco de exploração.