CVE-2023-32994
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Wtyczka Jenkins SAML Single Sign On (SSO) w wersji 2.1.0 i wcześniejszych bezwarunkowo wyłącza walidację certyfikatów SSL/TLS dla połączeń z miniOrange lub skonfigurowanym IdP w celu pobrania metadanych SAML.
Ocena ryzyka
Może to zostać wykorzystane w ataku typu man-in-the-middle do przechwycenia tych połączeń, co stwarza poważne zagrożenie dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby przywrócić walidację certyfikatów SSL/TLS.
Oryginalny opis (angielski, źródło NVD)
Jenkins SAML Single Sign On(SSO) Plugin 2.1.0 and earlier unconditionally disables SSL/TLS certificate validation for connections to miniOrange or the configured IdP to retrieve SAML metadata, which could be abused using a man-in-the-middle attack to intercept these connections.

