Šta se desilo?

Otkrivena je sigurnosna ranjivost u Eclipse PIA sistemu za upravljanje dozvolama pri autentifikaciji putem OIDC standarda. Greška u validaciji izdavaoca tokena omogućava napadaču da koristi razne tehnike falsifikovanja adrese - od injection znakova u URL do pretvaranja u subdomenu - kako bi zaobišao sigurnosne provere. Na ovaj način, neovlašćeni korisnik može prisiliti sistem da prihvati lažne tokene potpisane napadačevim ključem.

Koga pogađa?

Pogođeni su svi korisnici i sistemi koji koriste Eclipse PIA za upravljanje Jenkins tokena i SBOM (Software Bill of Materials) obrade. Posebno su u riziku organizacije koje koriste PIA za integraciju sa Jenkins alatima i sisteme koji oslanjaju na OIDC autentifikaciju za kontrolu pristupa.

Kako se zaštititi?

  • Odmah ažurirajte Eclipse PIA na poslednju verziju sa ispravljenom validacijom izdavaoca
  • Pregledajte logove sistema za neobične zahteve ka POST /v1/upload/sbom endpointu
  • Ograničite mrežni pristup Eclipse PIA sistema samo na pouzdane izvore
  • Implementirajte dodatne kontrole za validaciju OIDC tokena na nivou aplikacije
  • Pratite zvanične preporuke Eclipse projektnog tima za sigurnosne zakrpe

Tehnički detalji

Ranjivost (CVE-2026-14336) sa CVSS skorom 8.2 (VISOKO) potiče iz nepravilne validacije u funkciji is_issuer_known (pia/models.py:139) koja koristi jednostavnu string prefix proveru umesto ispravne URL validacije vezane za host. Napadač može kreirati URLs kao https://ci.eclipse.org@evil.host (userinfo injection) ili https://ci.eclipse.org.evil.host (suffix prepend) da zaobiđe proveru i preusmeri OIDC discovery i JWKS zahteve na svoj server. Unauthenticated pozivi na POST /v1/upload/sbom mogu biti zloupotrebljeni za iniciranje saoprolog toka napada.

Preporuka Sajber Radara

Ova ranjivost predstavlja ozbiljnu pretnju jer omogućava neovlašćenom napadaču da prihvati Jenkins tokene bez pristupa ključevima sistema. Preporučujemo hitnu primenu zakrpe i detaljnu analizu pristupa SBOM endpointu tokom rizičnog perioda.