漏洞关键信息总结 漏洞概述 公告编号: Jenkins Security Advisory 2023-08-16 影响的插件: - Blue Ocean Plugin - Config File Provider Plugin - Delphix Plugin - Docker Swarm Plugin - Favorite View Plugin - Flaky Test Handler Plugin - Folders Plugin - Fortify Plugin - Gogs Plugin - Maven ArtifactChoiceListProvider (Nexus) Plugin - NodeJS Plugin - Shortcut Job Plugin - Tuleap Authentication Plugin 关键漏洞描述 CSRF漏洞 Folders Plugin: - SEVERITY-3106 / CVE-2023-40336: 允许攻击者复制项目,可能自动批准非沙盒脚本并执行不安全脚本。 - SEVERITY-3105 / CVE-2023-40337: 允许攻击者在文件夹内复制视图。 Config File Provider Plugin: - SEVERITY-3090 / CVE-2023-40339: 配置文件中指定的凭证在日志中未被屏蔽。 信息泄露漏洞 Folders Plugin: - SEVERITY-3109 / CVE-2023-40338: 错误消息中显示日志文件的绝对路径。 Gogs Plugin: - SEVERITY-2894 / CVE-2023-40348: 未认证的攻击者可以触发任务构建。 区别代理漏洞 NodeJS Plugin: - SEVERITY-3196 / CVE-2023-40340: Npm配置文件中指定的凭证在管道构建日志中未被屏蔽。 XSS漏洞 Flaky Test Handler Plugin: - SEVERITY-3223 / CVE-2023-40342: JUnit测试内容未转义,导致存储型XSS漏洞。 Favorite View Plugin: - SEVERITY-3201 / CVE-2023-40351: 允许攻击者在其他用户的最爱视图中添加或删除视图。 权限检查缺失漏洞 Fortify Plugin: - SEVERITY-3115 / CVE-2023-4301: 不进行权限检查,允许攻击者连接到指定的URL并捕获凭据。 影响版本与修复建议 受影响版本: 包含具体插件的受影响版本范围。 修复建议: 更新到指定的插件版本以修复漏洞。