Jenkins多插件安全漏洞公告（XSS/SSRF/沙箱绕过/会话劫持）

从这个网页截图中，可以获取到以下关于漏洞的关键信息： 1. 漏洞描述： - Script Security Plugin：插件在验证方法中未进行权限检查，允许具有Overall/Read权限的攻击者检查控制器文件系统中是否存在文件。 - Pipeline: Groovy Plugin：插件在重建之前未检查主脚本是否被批准，允许具有Item/Build权限的攻击者重建未被批准的构建。 - Pipeline: Declarative Plugin：插件在重新启动之前未检查主脚本是否被批准，允许具有Item/Build权限的攻击者重新启动未被批准的构建。 - Authorize Project Plugin：插件在授权视图中评估包含JavaScript的字符串，导致存储型跨站脚本（XSS）漏洞。 - OpenID Connect Authentication Plugin：插件在登录时未清除现有会话，允许攻击者通过社会工程手段获取管理员权限。 - IvyTrigger Plugin：插件在构建触发器中允许攻击者控制输入文件，导致XML外部实体解析漏洞。 - Shared Library Version Override Plugin：插件在配置文件中未正确处理文件夹级别的库覆盖，允许攻击者绕过脚本安全沙箱。 2. 受影响的版本： - Authorize Project Plugin：1.7.2及之前版本。 - IvyTrigger Plugin：1.01及之前版本。 - OpenID Connect Authentication Plugin：4.418.vccc7061f5b_6d及之前版本。 - Pipeline: Declarative Plugin：2.2214.vb_b_34b_2ea_9b_83及之前版本。 - Pipeline: Groovy Plugin：3990.vd281dd77a_388及之前版本。 - Script Security Plugin：1367.vdf2fc45f229c及之前版本。 - Shared Library Version Override Plugin：17.v786074c9fce7及之前版本。 3. 修复措施： - 更新受影响的插件到最新版本以修复漏洞。 4. 信用： - 感谢报告漏洞的人员，包括Daniel Beck和Kevin Guerroudj。 这些信息可以帮助用户了解哪些插件存在安全漏洞，以及如何通过更新到最新版本来修复这些漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Jenkins多插件安全漏洞公告（XSS/SSRF/沙箱绕过/会话劫持）

目标达成感谢每一位支持者 — 我们达成了 100% 目标！