Jenkins多插件安全公告：含RCE/XSS/反序列化漏洞(CVE-2026-42519至42525)

Jenkins 安全公告 2026-04-29 漏洞总结 漏洞概述 本次公告涉及 Jenkins 多个插件的安全漏洞，主要包括权限检查缺失、路径遍历、反序列化漏洞及跨站脚本（XSS）等。 1. Script Security Plugin 权限检查缺失 CVE: CVE-2026-42519 严重程度: Medium 描述: 旧版本插件在 HTTP 端点中未执行权限检查，允许具有 权限的攻击者枚举待处理和已批准的 Classpath。 2. Credentials Binding Plugin 路径遍历漏洞 CVE: CVE-2026-42520 严重程度: High 描述: 插件未对文件名进行清理，攻击者可利用此漏洞将凭据写入节点文件系统的任意位置。若 Jenkins 配置允许低权限用户配置凭据，可导致远程代码执行。 3. Matrix Authorization Strategy Plugin 不安全的反序列化 CVE: CVE-2026-42521 严重程度: Medium 描述: 插件在反序列化继承策略时未限制可实例化的类，攻击者可利用 权限实例化任意类型，可能导致信息泄露。 4. GitHub Branch Source Plugin 权限检查缺失 CVE: CVE-2026-42522 严重程度: Medium 描述: 插件在表单验证方法中未执行权限检查，允许具有 权限的攻击者连接攻击者指定的 URL。 5. GitHub Plugin 跨站脚本 (XSS) CVE: CVE-2026-42523 严重程度: High 描述: 插件在处理 "GitHub hook trigger for GITScm polling" 功能时，未正确处理当前作业 URL，导致存储型 XSS 漏洞。 6. HTML Publisher Plugin 跨站脚本 (XSS) CVE: CVE-2026-42524 严重程度: High 描述: 插件在生成 legacy wrapper 文件时未转义作业名称和 URL，导致存储型 XSS 漏洞。 7. Microsoft Entra ID (Azure AD) Plugin 开放重定向 CVE: CVE-2026-42525 严重程度: Medium 描述: 插件在登录后未限制重定向 URL，攻击者可利用此漏洞将用户重定向到外部恶意站点进行钓鱼攻击。 --- 影响范围 以下插件版本存在上述漏洞： Credentials Binding Plugin: 719.v80e905ef14eb_ 及更早版本 GitHub Plugin: 1.46.0 及更早版本 GitHub Branch Source Plugin: 1967.vdea_d580c1a_b_a_ 及更早版本 HTML Publisher Plugin: 427 及更早版本 Matrix Authorization Strategy Plugin: 2.0-beta-1 至 3.2.9 (含) Microsoft Entra ID (Azure AD) Plugin: 666.v6060de32f87d 及更早版本 Script Security Plugin: 1399.ve6a_6654776e1 及更早版本 --- 修复方案 建议将受影响的插件更新至以下安全版本： Credentials Binding Plugin: 更新至 720.v3f6dedef43ea_ GitHub Plugin: 更新至 1.46.0.1 GitHub Branch Source Plugin: 更新至 1967.1969.v205fd594c821 HTML Publisher Plugin: 更新至 427.1 Matrix Authorization Strategy Plugin: 更新至 3.2.10 Microsoft Entra ID (Azure AD) Plugin: 更新至 667.v4c5827a_e74a_0 Script Security Plugin: 更新至 1402.v94c9ce464861 (注：对于 HTML Publisher Plugin，在 Jenkins 2.539 及更新版本中，强制实施 Content Security Policy 也可缓解该 XSS 漏洞。)*

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Jenkins多插件安全公告：含RCE/XSS/反序列化漏洞(CVE-2026-42519至42525)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！