关键信息 漏洞描述 Jenkins Security Advisory 2025-07-09 - 描述了多个插件中存在的安全漏洞,包括凭证处理不当、文件路径信息泄露、输入验证缺失、API密钥和令牌存储不当等。 漏洞详情 Credential Binding Plugin - 不正确的凭证标记。 HTML Publisher Plugin - 文件路径信息泄露。 Git Parameter Plugin - 参数值的输入验证缺失。 Aqua Security Scanner Plugin - 以明文形式存储令牌。 Statistics Gathering Plugin - AWS Secret Key以明文形式存储和显示。 ReadyAPI Functional Testing Plugin - 凭证以明文形式存储和显示。 Applitools Eyes Plugin - 存储XSS漏洞。 Qmetry Test Management Plugin - API密钥以明文形式存储和显示。 Testigma Test Plan run Plugin - API密钥未被掩码显示。 IFTTT Build Notifier Plugin - 密钥以明文形式存储。 IBM Cloud DevOps Plugin - 令牌以明文形式存储。 Apice Loadtest Plugin - 令牌以明文形式存储和显示。 Dead Man's Snitch Plugin - 令牌以明文形式存储和显示。 Windy Plugin - API Auth密钥以明文形式存储和显示。 Novoza DexCloud Plugin - 密钥以明文形式存储和显示。 Kryptonite Plugin - API密钥以明文形式存储。 Sentry.io Api Plugin - 令牌以明文形式存储和显示。 Warrior Framework Plugin - 密码以明文形式存储。 Xoon Plugin - 令牌以明文形式存储和显示。 Userlist Ufacial Plugin - 令牌以明文形式存储。 严重性 Critical: Jenkins Pipeline Steps, Credentials Binding Plugin, HTML Publisher Plugin, Git Parameter Plugin, Aqua Security Scanner Plugin, Statistics Gathering Plugin, ReadyAPI Functional Testing Plugin, Applitools Eyes Plugin, Qmetry Test Management Plugin, Testigma Test Plan run Plugin, IFTTT Build Notifier Plugin, IBM Cloud DevOps Plugin, Apice Loadtest Plugin, Dead Man's Snitch Plugin, Windy Plugin, Novoza DexCloud Plugin, Kryptonite Plugin, Sentry.io Api Plugin, Warrior Framework Plugin, Xoon Plugin, Userlist Ufacial Plugin. 影响版本 列出了受影响的具体插件版本。 固定措施 提供了针对每个漏洞的修复建议和更新版本。 致谢 感谢发现并报告这些漏洞的安全研究人员。