VDB
CVE-2024-47807
CVE-2024-47807
PUBLISHED
In Jenkins existieren mehrere Schwachstellen. Im OpenId Connect Authentication Plugin wird der "aud" (Audience) und "iss" (Issuer) Claim eines ID Tokens während des Authentifizierungsflusses nicht überprüft. Durch diese Schwachstelle kann ein entfernter, anonymer Angreifer den Authentifizierungsfluss untergraben und potenziell Administratorzugriff auf Jenkins erlangen.
EPSS 0.32% · 55.2th percentile
Risk Scores
EPSS Score
0.32%
55.2th percentile
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Jenkins | Jenkins Jenkins OpenId Connect Authentication Plugin <4.355.v3a_fb_fca_b_96d4 | |
| Red Hat | Red Hat Enterprise Linux |
Timeline
- Oct 2, 2024 CVE Published
- Oct 3, 2024 EPSS Score
- Oct 5, 2024 Coalition ESS Score
- Oct 22, 2024 EPSS Score
- Nov 10, 2024 EPSS Score
- Nov 29, 2024 EPSS Score
- Dec 19, 2024 EPSS Score
- Jan 7, 2025 EPSS Score
- Jan 26, 2025 EPSS Score
- Feb 14, 2025 EPSS Score
- Mar 5, 2025 EPSS Score
- Mar 8, 2025 Coalition ESS Score
References
- https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-3071.json advisory
- https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3071 advisory
- https://www.jenkins.io/security/advisory/2024-10-02/ advisory
- https://access.redhat.com/errata/RHSA-2024:8887 advisory
- https://access.redhat.com/errata/RHSA-2024:8884 advisory
- https://access.redhat.com/errata/RHSA-2024:8885 advisory
- https://access.redhat.com/errata/RHSA-2024:8886 advisory