关键漏洞信息 漏洞描述 凭证绑定插件中的凭证标记不当 - 描述:在某些情况下,凭证可能未正确标记,导致敏感信息泄露。 - 示例:使用 步骤时,如果凭证未正确标记,可能会在日志中显示。 HTML发布器插件中的文件路径信息泄露 - 描述:插件可能在HTML输出中暴露文件路径信息。 - 示例:生成的HTML文件可能包含服务器上的绝对路径。 Git参数插件中缺少参数值输入验证 - 描述:插件对Git参数值的输入缺乏验证,可能导致注入攻击。 - 示例:恶意用户可以通过特定参数值触发安全问题。 Aqua Security扫描器插件、Statistics Gathering插件、ReadypAPI功能测试插件、Applitools Eyes插件、Qmetry Test Management插件、Testigma测试计划运行插件、IFTTT构建通知器插件、IBM Cloud DevOps插件、Spice Loadtest插件、Dead Man's Snitch插件、Maddy插件、Novoza DexCloud插件、Kryptonite插件、Sentridus API插件、Warrior框架插件、Xoon插件、Userlist Ufacial插件 中的API密钥、令牌或凭证以明文形式存储和显示。 - 描述:这些插件将敏感信息(如API密钥、令牌)以明文形式存储和显示,增加了被滥用的风险。 - 示例:配置文件或日志中直接显示API密钥。 Applitools Eyes插件中的存储XSS漏洞 - 描述:插件存在存储型XSS漏洞,允许攻击者注入恶意脚本。 - 示例:通过特定输入,攻击者可以在页面上执行任意JavaScript代码。 严重性 高危:Aqua Security Scanner Plugin, Statistics Gathering Plugin, ReadypAPI Functional Testing Plugin, Applitools Eyes Plugin, Qmetry Test Management Plugin, IFTTT Build Notifier Plugin, IBM Cloud DevOps Plugin, Spice Loadtest Plugin, Dead Man's Snitch Plugin, Maddy Plugin, Novoza DexCloud Plugin, Kryptonite Plugin, Sentridus Api Plugin, Warrior Framework Plugin, Xoon Plugin, Userlist Ufacial Plugin 中危:Credentials Binding Plugin, HTML Publisher Plugin, Git Parameter Plugin 影响版本 Jenkins及多个插件的特定版本受到影响,具体版本号需参考公告详情。 固定措施 更新受影响的Jenkins插件至最新版本。 审查并加固插件配置,避免敏感信息以明文形式存储和显示。 对输入进行严格验证,防止注入攻击。 部署Web应用防火墙等防护措施,减少XSS等攻击风险。 致谢 感谢发现并报告这些漏洞的安全研究人员和社区成员。