CVE-2025-24399

Nome do Software Vulnerável e Versões Afetadas Jenkins OpenId Connect Authentication Plugin versões 4.452.v2849b d3945fa e anteriores, exceto a versão 4.438.440.v3f5f201de5dc

Descrição A falha permite que atacantes façam login como qualquer usuário fornecendo um nome de usuário que difere apenas em maiúsculas e minúsculas em instâncias do Jenkins configuradas com um provedor OpenID Connect sensível a maiúsculas e minúsculas, potencialmente obtendo acesso de administrador ao Jenkins. Isso ocorre porque o plugin trata os nomes de usuário como insensíveis a maiúsculas e minúsculas.

Recomendações Para o Jenkins OpenId Connect Authentication Plugin versões 4.452.v2849b d3945fa e anteriores, exceto a versão 4.438.440.v3f5f201de5dc, atualize para a versão 4.453.v4d7765c854f4 ou posterior, que introduz uma opção de configuração avançada para gerenciar a sensibilidade a maiúsculas e minúsculas do nome de usuário, com padrão para sensível a maiúsculas e minúsculas. Para versões que não podem ser atualizadas para 4.453.v4d7765c854f4 ou posterior, considere configurar o provedor OpenID Connect para ser insensível a maiúsculas e minúsculas ou restringir o acesso para minimizar o risco de exploração até que uma correção esteja disponível.