关键漏洞信息总结 1. Stored XSS 漏洞 CVE : CVE-2023-39151 CVSS : 高 描述 : Jenkins 2.415 及更早版本在生成构建日志时未正确对 URL 进行编码,导致存储型跨站脚本漏洞。 影响版本 : Jenkins (core)、Bazaar Plugin、Chef Identity Plugin、GitLab Authentication Plugin、Gradle Plugin、Qualys Web App Scanning Connector Plugin、ServiceNow DevOps Plugin 2. Gradle 插件控制流程错误造成凭证暴露 CVE : CVE-2023-39152 CVSS : 中 描述 : Gradle 插件在某些情况下处理构建日志时,可能导致凭证未被正确掩码。 影响版本 : Gradle Plugin 2.8 及更早版本。 修复版本 : Gradle Plugin 2.8.1 3. GitLab 认证插件 CSRF 漏洞 CVE : CVE-2023-39153 CVSS : 中 描述 : GitLab 认证插件未正确实现 OAuth 流中的状态参数,攻击者可通过此漏洞欺骗用户登录到攻击者的账户。 影响版本 : GitLab Authentication Plugin 1.17.1 及更早版本。 修复版本 : GitLab Authentication Plugin 1.18 4. ServiceNow DevOps 插件 CSRF 和权限检查缺失漏洞 CVE : CVE-2023-3414, CVE-2023-3442 CVSS : 中 描述 : ServiceNow DevOps 插件在表单验证方法中缺少权限检查,且允许攻击者通过 GET 请求执行 CSRF 攻击。 影响版本 : ServiceNow DevOps Plugin 1.38.0 及更早版本。 修复版本 : ServiceNow DevOps Plugin 1.38.1 5. Qualys Web App Scanning Connector 插件权限检查错误 CVE : CVE-2023-39154 CVSS : 中 描述 : 该插件在多个 HTTP 端点上的权限检查不正确,允许攻击者捕获存储在 Jenkins 中的凭证。 影响版本 : Qualys Web App Scanning Connector Plugin 2.0.10 及更早版本。 修复版本 : Qualys Web App Scanning Connector Plugin 2.0.11 6. Chef Identity 插件凭证泄露 CVE : CVE-2023-39155 CVSS : 低 描述 : Chef Identity 插件在配置界面中未正确掩码 user.pem 密钥。 影响版本 : Chef Identity Plugin 2.0.3 及更早版本。 当前状态 : 尚无修复。 7. Bazaar 插件 CSRF 漏洞 CVE : CVE-2023-39156 CVSS : 中 描述 : Bazaar 插件在处理某 HTTP 端点请求时未要求 POST,导致 CSRF 漏洞。 影响版本 : Bazaar Plugin 1.22 及更早版本。 当前状态 : 尚无修复。