Katalog CVE

CVE-2023-32994

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Wtyczka Jenkins SAML Single Sign On (SSO) w wersji 2.1.0 i wcześniejszych bezwarunkowo wyłącza walidację certyfikatów SSL/TLS dla połączeń z miniOrange lub skonfigurowanym IdP w celu pobrania metadanych SAML.

Ocena ryzyka

Może to zostać wykorzystane w ataku typu man-in-the-middle do przechwycenia tych połączeń, co stwarza poważne zagrożenie dla bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby przywrócić walidację certyfikatów SSL/TLS.

Oryginalny opis (angielski, źródło NVD)

Jenkins SAML Single Sign On(SSO) Plugin 2.1.0 and earlier unconditionally disables SSL/TLS certificate validation for connections to miniOrange or the configured IdP to retrieve SAML metadata, which could be abused using a man-in-the-middle attack to intercept these connections.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS