关键信息 漏洞描述 Jenkins Security Advisory 2025-07-09 - 描述了多个插件中存在的安全漏洞,包括: - 凭据绑定插件中的凭据标记不当 - HTML发布器插件中的文件路径信息泄露 - Git参数插件中缺少参数值的输入验证 - Aqua安全扫描器插件、Statistics Gathering插件等存储和显示明文令牌或密钥 - Appium Eyes插件中的存储XSS漏洞 - QMetry测试管理插件、Testigma测试计划运行插件等存储和显示明文API密钥 - IFTTT构建通知器插件、IBM Cloud DevOps插件等存储和显示明文密钥或令牌 严重性 Critical: Jenkins CLI插件、GitHub API插件等 High: AWS CodeDeploy插件、Azure Key Vault插件等 Medium: Docker插件、Git插件等 Low: Maven Integration插件、Pipeline插件等 影响版本 列出了受影响的具体插件版本,如: - Jenkins CLI Plugin: 2.63.1及以下版本 - GitHub API Plugin: 1.114及以下版本 - AWS CodeDeploy Plugin: 1.14及以下版本 - 等等 固定措施 提供了针对每个漏洞的修复建议和更新版本,例如: - 更新到Jenkins CLI Plugin 2.64及以上版本 - 更新到GitHub API Plugin 1.115及以上版本 - 更新到AWS CodeDeploy Plugin 1.15及以上版本 - 等等 致谢 感谢发现并报告这些漏洞的安全研究人员和团队。