Jenkins多插件安全漏洞公告 (XSS/SSRF/权限绕过等)

从这个网页截图中，可以获取到以下关于漏洞的关键信息： 1. 漏洞描述： - Script Security Plugin Missing permission check vulnerability：Script Security Plugin 1367.vdf2fc45f229c 和更早的版本（除了 1365.1367.va_3b_b_89f8a_95b_ 和 1362.1364.v4cf2dc5d8776）在实现表单验证方法时未进行权限检查。 - Pipeline: Groovy Plugin Rebuilding a run with revoked script approval allowed：Pipeline: Groovy Plugin 3990.vd281dd77a_388 和更早的版本（除了 3975.3977.v478dd9e956c3）在重建构建时未检查主 (Jenkinsfile) 脚本是否被撤销批准。 - Pipeline: Declarative Plugin Restarting a run with revoked script approval allowed：Pipeline: Declarative Plugin 2.2214.vb_b_34b_2ea_9b_83 和更早的版本在从特定阶段重新启动构建时未检查主 (Jenkinsfile) 脚本是否被撤销批准。 - Authorize Project Plugin Stored XSS vulnerability：Authorize Project Plugin 1.7.2 和更早的版本在授权视图中评估包含 JavaScript 的字符串。 - OpenID Connect Authentication Plugin Session fixation vulnerability：OpenID Connect Authentication Plugin 4.418.vccc7061f5b_6d 和更早的版本在登录时未清除现有会话。 - IvyTrigger Plugin XXE vulnerability：IvyTrigger Plugin 1.01 和更早的版本捆绑了易受 CVE-2022-46751 影响的 Apache Ivy。 - Shared Library Version Override Plugin Script security bypass vulnerability：Shared Library Version Override Plugin 17.v786074c9fce7 和更早的版本声明了受信任的文件夹级别的库覆盖，因此在脚本安全沙箱中未执行。 2. 漏洞严重性： - High：SECURITY-2954, SECURITY-3010, SECURITY-3361, SECURITY-3362, SECURITY-3466, SECURITY-3473 - Medium：SECURITY-3447 3. 受影响的版本： - Authorize Project Plugin：1.7.2 及更早版本 - IvyTrigger Plugin：1.01 及更早版本 - OpenID Connect Authentication Plugin：4.418.vccc7061f5b_6d 及更早版本 - Pipeline: Declarative Plugin：2.2214.vb_b_34b_2ea_9b_83 及更早版本 - Pipeline: Groovy Plugin：3990.vd281dd77a_388 及更早版本 - Script Security Plugin：1367.vdf2fc45f229c 及更早版本 - Shared Library Version Override Plugin：17.v786074c9fce7 及更早版本 4. 修复措施： - 更新受影响的插件到最新版本以修复漏洞。 这些信息可以帮助用户了解哪些插件存在安全漏洞，以及如何通过更新到最新版本来修复这些漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Jenkins多插件安全漏洞公告 (XSS/SSRF/权限绕过等)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！