【漏洞通报】Jenkins OpenId Connect Authentication漏洞

2024-10-08

漏洞情况

近期,火山信安实验室监测到Jenkins团队发布了一项安全公告,公告中披露了Jenkins OpenId Connect Authentication插件中存在的一个高危身份验证缺陷漏洞。该漏洞编号为CVE-2024-47806,危害等级被评定为高危,可能对Jenkins服务器的安全性构成严重威胁。

0x01漏洞利用方式

该漏洞是由于Jenkins OpenId Connect Authentication插件在处理ID令牌时未对“aud”(Audience)声明进行检查所导致的。这一疏忽使得攻击者有可能绕过正常的身份验证流程,进而获得对Jenkins服务器的非法访问权限,甚至可能以管理员身份执行恶意操作。

0x02影响范围

  • 受影响插件版本:Jenkins OpenId Connect Authentication Plugin在发布补丁之前的所有版本均可能受到此漏洞的影响。

  • 具体受影响版本:包括但不限于4.355.v3a之前的所有版本。用户应特别关注这些版本,并尽快进行更新。

0x03临时修复方案

为了防范该漏洞带来的安全风险,我们强烈建议用户采取以下措施:

  1. 更新插件至安全版本:用户应尽快将Jenkins OpenId Connect Authentication Plugin更新至4.355.v3a或更高版本,以确保插件中的身份验证机制得到修复。

  2. 资产自查与预防:用户应对所有Jenkins服务器进行资产自查,确保所有插件和组件都已更新至最新版本。同时,建议加强系统的安全防护措施,如设置强密码、启用多因素身份验证等,以提高系统的整体安全性。

  3. 持续监控与更新:建议用户持续关注Jenkins团队发布的安全公告和更新信息,以便及时了解并应对可能存在的安全风险。


分享