CVE-2025-47889

Nome do Software Vulnerável e Versões Afetadas Plug-in WSO2 OAuth do Jenkins versões 1.0 e anteriores

Descrição Esta falha permite que atacantes não autenticados façam login nos controladores utilizando o realm de segurança "WSO2 OAuth" com qualquer nome de usuário e qualquer senha, incluindo nomes de usuário inexistentes, devido às claims de autenticação serem aceitas sem validação. Estima-se que mais de 720.000 instâncias do Jenkins estejam expostas à internet e potencialmente afetadas por esta vulnerabilidade.

Recomendações Para as versões 1.0 e anteriores do Plug-in WSO2 OAuth do Jenkins, considere desativar o realm de segurança "WSO2 OAuth" até que um patch esteja disponível para prevenir acesso não autenticado. Restrinja o acesso aos controladores que utilizam este realm de segurança para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.