关键漏洞信息 1. 漏洞概述 发布日期: 2022-09-21 影响的Jenkins插件: - Jenkins Core - Anchore Container Image Scanner Plugin - Apprenda Plugin - BigPanda Notifier Plugin - BMC AMI Common Configuration Plugin - build-publisher Plugin - CONS3RT Plugin - DotCi Plugin - extreme-feedback Plugin - NS-ND Integration Performance Publisher Plugin - NS-ND Integration Performance Publisher CNA - RQM Plugin - Rundeck Plugin - SCM HttpClient Plugin - Security Inspector Plugin - SmallTest Plugin - View26 Test-Reporting Plugin - Waiti Plugin - WildFly Deployer Plugin - Worksoft Execution Manager Plugin 2. 漏洞详情 XSS漏洞 CVE-2022-41224 (SECURITY-2886) - 严重性: High - 描述: Jenkins 2.367 至 2.369 版本未能对部分帮助图标进行转义,导致存储型XSS攻击。 Stored XSS漏洞 CVE-2022-41225 (SECURITY-2821) - 严重性: High - 描述: Anchore Container Image Scanner Plugin 1.0.24 及以下版本未能对Anchore引擎API提供的内容进行转义,导致存储型XSS攻击。 XXE漏洞 CVE-2022-41226 (SECURITY-2832) - 严重性: High - 描述: BMC AMI Common Configuration Plugin 1.0.14 及以下版本未能配置XML解析器以防止XML外实体攻击,允许攻击者修改Topaz Workbench CLI主目录的内容。 3. 影响版本 Jenkins核心版本: 2.369及以下 各插件受影响的具体版本范围。 4. 修复措施 更新Jenkins核心至2.370及以上 更新受影响插件至各自最新安全版本。 5. 重要提示 部分漏洞暂时无修复措施,需关注后续安全公告。