CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24424
https://notcve.org/view.php?id=CVE-2023-24424
Jenkins OpenId Connect Authentication Plugin 2.4 and earlier does not invalidate the previous session on login. El complemento OpenId Connect Authentication 2.4 de Jenkins y versiones anteriores no invalida la sesión anterior al iniciar sesión. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2978 • CWE-384: Session Fixation •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003021
https://notcve.org/view.php?id=CVE-2019-1003021
An exposure of sensitive information vulnerability exists in Jenkins OpenId Connect Authentication Plugin 1.4 and earlier in OicSecurityRealm/config.jelly that allows attackers able to view a Jenkins administrator's web browser output, or control the browser (e.g. malicious extension) to retrieve the configured client secret. Existe una vulnerabilidad de exposición de información sensible en Jenkins OpenId Connect Authentication Plugin, en versiones 1.4 y anteriores, en OicSecurityRealm/config.jelly, que permite que los atacantes que puedan ver la salida del navegador web de un administrador de Jenkins o controlar el navegador (por ejemplo, mediante una extensión maliciosa) para recuperar el secreto del cliente configurado. • https://jenkins.io/security/advisory/2019-01-28/#SECURITY-886 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •