从这段 Jenkins Security Advisory 2023-05-16 的截图中,可以获取以下关于漏洞的关键信息: Descriptions 交叉站脚本 (Stored XSS) 漏洞 Pipeline Job Plugin: - 漏洞 ID: SECURITY-3042/CVE-2023-32977 - 严重性: High - 受影响的插件: workflow-job - 描述: 若不处理构建的显示名称,则可能导致该构建被终止。攻击者可利用此漏洞执行跨站脚本攻击。 Pipeline Utility Steps Plugin: - 漏洞 ID: SECURITY-2196/CVE-2023-32981 - 严重性: Medium - 受影响的插件: pipeline-utility-steps - 描述: 攻击者可利用插件中提供的某些参数创建文件。 跨站请求伪造 (CSRF) 漏洞 LDAP Plugin: - 漏洞 ID: SECURITY-3046/CVE-2023-32978 - 严重性: Medium - 受影响的插件: ldap - 描述: 允许攻击者利用此漏洞。 - LDAP Plugin: - 漏洞 ID: SECURITY-3047/CVE-2023-32984 - 严重性: High - 受影响的插件: testing-plugin - 描述: 权限检查缺失或权限管理不当 Email Extension Plugin: - 漏洞 ID: SECURITY-3088 (1)/CVE-2023-32979 - 严重性: Medium - 受影响的插件: email-ext - 描述: 配置加密不当 Ansible Plugin: - 漏洞 ID: SECURITY-3017/CVE-2023-32982 (storage) 和 SECURITY CVE-2023-32983 (masking) - 严重性: Medium - 受影响的插件: ansible - 描述: 其他 Revers - 漏洞 ID: SECURITY - 严重性: Medium/Low - 受影响的插件: Affected Versions 每位列出的受漏洞影响的插件版本均有记录,以帮助系统维护员识别需要升级的特定版本。 Fix 对于有修复方案的每个漏洞,给出了版本更新建议,例如 Ansible、AppSpider、Azure VM 等插件应升级到的版本号。 Credit 列出了报告漏洞的安全研究人员和贡献者,并感谢他们的报告和修复贡献。