VDB
CVE-2024-47806
CVE-2024-47806
PUBLISHED
In Jenkins existieren mehrere Schwachstellen. Im OpenId Connect Authentication Plugin wird der "aud" (Audience) und "iss" (Issuer) Claim eines ID Tokens während des Authentifizierungsflusses nicht überprüft. Durch diese Schwachstelle kann ein entfernter, anonymer Angreifer den Authentifizierungsfluss untergraben und potenziell Administratorzugriff auf Jenkins erlangen.
EPSS 0.24% · 47.8th percentile
Risk Scores
EPSS Score
0.24%
47.8th percentile
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Red Hat | Red Hat Enterprise Linux | |
| Jenkins | Jenkins Jenkins OpenId Connect Authentication Plugin <4.355.v3a_fb_fca_b_96d4 |
Timeline
- Oct 2, 2024 CVE Published
- Oct 3, 2024 EPSS Score
- Oct 5, 2024 Coalition ESS Score
- Oct 22, 2024 EPSS Score
- Nov 10, 2024 EPSS Score
- Nov 29, 2024 EPSS Score
- Dec 19, 2024 EPSS Score
- Jan 7, 2025 EPSS Score
- Jan 26, 2025 EPSS Score
- Feb 14, 2025 EPSS Score
- Mar 5, 2025 EPSS Score
- Mar 24, 2025 EPSS Score
References
- https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-3071.json advisory
- https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3071 advisory
- https://www.jenkins.io/security/advisory/2024-10-02/ advisory
- https://access.redhat.com/errata/RHSA-2024:8887 advisory
- https://access.redhat.com/errata/RHSA-2024:8884 advisory
- https://access.redhat.com/errata/RHSA-2024:8885 advisory
- https://access.redhat.com/errata/RHSA-2024:8886 advisory