关键漏洞信息 1. OpenID Connect Provider Plugin - 不充分的声明验证 CVE: SECURITY-3574 / CVE-2025-47884 严重性: Critical 受影响插件: openid-provider 描述: 在OpenID Connect Provider Plugin中,声明模板可以使用环境变量进行动态配置。默认的构建ID令牌模板使用 环境变量,这可能导致被覆盖的环境变量值被使用。 2. Health Advisor by CloudBees Plugin - 存储型XSS漏洞 CVE: SECURITY-3559 / CVE-2025-47885 严重性: High 受影响插件: cloudbees-jenkins-advisor 描述: Health Advisor by CloudBees Plugin在处理Jenkins Health Advisor服务器的响应时未进行转义,导致存储型跨站脚本(XSS)漏洞。 3. Cadence vManager Plugin - CSRF漏洞和缺少权限检查 CVE: SECURITY-3548 / CVE-2025-47886 (CSRF), CVE-2025-47887 (缺少权限检查) 严重性: Medium 受影响插件: vmanager-plugin 描述: Cadence vManager Plugin在表单验证方法中未执行权限检查,允许具有Overall/Read权限的攻击者连接到指定URL并使用指定的用户名和密码。 4. DingTalk Plugin - SSL/TLS证书验证无条件禁用 CVE: SECURITY-3533 / CVE-2025-47888 严重性: Medium 受影响插件: dingding-notifications 描述: DingTalk Plugin无条件禁用了SSL/TLS证书和主机名验证,导致安全风险。 5. WSO2 OAuth Plugin - 身份验证绕过漏洞 CVE: SECURITY-3481 / CVE-2025-47889 严重性: Critical 受影响插件: wso2id-oauth 描述: WSO2 OAuth Plugin在身份验证过程中未验证声明,允许未经授权的用户使用任意用户名和密码登录。 ``` 这些信息总结了网页截图中提到的关键漏洞及其影响。