- Descripción: OpenId Connect Authentication Plugin 4.452.v2849b_d3945fa_ y anteriores, excepto 4.438.440.v3f5f201de5dc, trata los nombres de usuario sin distinguir mayúsculas de minúsculas.
-
- Gravedad: Alta [8.8 / 10]
- Versiones afectadas: < 4.453.v4d7765c854f4
- Versión parcheada: 4.453.v4d7765c854f4
- Debilidad: CWE-178
Una instancia de Jenkins configurada con un proveedor OpenID Connect que distingue entre mayúsculas y minúsculas, permite a los atacantes iniciar sesión como cualquier usuario proporcionando un nombre de usuario que sólo difiere en mayúsculas y minúsculas, obteniendo potencialmente acceso de administrador a Jenkins.
El Plugin de autenticación de OpenId Connect 4.453.v4d7765c854f4 introduce una opción de configuración avanzada para gestionar la distinción entre mayúsculas y minúsculas de los nombres de usuario, con el valor predeterminado de distinguir entre mayúsculas y minúsculas.