从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - Exposure of multi-line secrets through error messages in Jenkins:Jenkins 2.478 和更早版本、LTS 2.462.2 和更早版本在错误消息中未加密多行秘密值。 - Item creation restriction bypass vulnerability in Jenkins:Jenkins 的 API 允许细粒度的项目创建控制,但攻击者可以通过 Item/Create 权限绕过这些限制。 - Encrypted values of credentials revealed to users with Extended Read permission in Credentials Plugin:Credentials Plugin 1380 和更早版本在访问配置文件时未加密密钥。 - Lack of audience claim validation in OpenId Connect Authentication Plugin:OpenId Connect Authentication Plugin 4.354 和更早版本在验证过程中未检查 Audience claim。 - Lack of issuer claim validation in OpenId Connect Authentication Plugin:OpenId Connect Authentication Plugin 4.355 和更早版本在验证过程中未检查 Issuer claim。 2. 漏洞影响: - Exposure of multi-line secrets through error messages in Jenkins:可能导致多行秘密值在错误消息中泄露。 - Item creation restriction bypass vulnerability in Jenkins:允许攻击者绕过项目创建限制。 - Encrypted values of credentials revealed to users with Extended Read permission in Credentials Plugin:允许具有扩展读取权限的用户查看加密密钥。 - Lack of audience claim validation in OpenId Connect Authentication Plugin:可能导致攻击者绕过身份验证流程。 - Lack of issuer claim validation in OpenId Connect Authentication Plugin:可能导致攻击者绕过身份验证流程。 3. 漏洞严重性: - Exposure of multi-line secrets through error messages in Jenkins:中等。 - Item creation restriction bypass vulnerability in Jenkins:中等。 - Encrypted values of credentials revealed to users with Extended Read permission in Credentials Plugin:中等。 - Lack of audience claim validation in OpenId Connect Authentication Plugin:高。 - Lack of issuer claim validation in OpenId Connect Authentication Plugin:高。 4. 受影响的版本: - Jenkins weekly:2.478 及更早版本。 - Jenkins LTS:2.462.2 及更早版本。 - Credentials Plugin:1380 及更早版本。 - OpenId Connect Authentication Plugin:4.354 及更早版本。 5. 修复措施: - 更新到指定版本的 Jenkins、Credentials Plugin 和 OpenId Connect Authentication Plugin。 6. 致谢: - 感谢报告这些漏洞的人员。 这些信息可以帮助用户了解漏洞的性质、影响范围以及如何修复这些问题。