Jenkins多插件安全公告：含RCE/反序列化/文件读取等漏洞

Jenkins 安全公告 2026-05-27 漏洞概述 1. LDAP 插件中的未验证 LDAP 重定向导致的 RCE 漏洞 - CVE: CVE-2026-48916 (SSRF), CVE-2026-48917 (反序列化) - 严重程度: 中等 - 受影响插件: LDAP Plugin - 描述: LDAP 插件 807.v7d7de30930cf 及更早版本遵循配置的 LDAP 服务器的 LDAP 重定向。这些重定向可以转发到 RMI URL，导致 Jenkins 反序列化攻击者控制的数据，从而在 Jenkins 控制器上执行远程代码执行（RCE）。 2. Active Directory 插件中的未验证 LDAP 重定向导致的 RCE 漏洞 - CVE: CVE-2026-48918 (SSRF), CVE-2026-48919 (反序列化) - 严重程度: 中等 - 受影响插件: Active Directory Plugin - 描述: Active Directory 插件 2.41 及更早版本默认遵循配置的 Active Directory 服务器的 LDAP 重定向。这些重定向可以转发到 RMI URL，导致 Jenkins 反序列化攻击者控制的数据，从而在 Jenkins 控制器上执行远程代码执行（RCE）。 3. Email Extension 插件中的任意文件读取漏洞 - CVE: CVE-2026-48920 - 严重程度: 高 - 受影响插件: Email Extension Plugin - 描述: Email Extension 插件 1933.v45cec755423f 及更早版本包含一个允许内联图像的功能，通过设置 属性。没有对可以内联的图像 URL 进行限制。 4. Pipeline: Groovy Libraries 插件中的通过符号链接的任意文件读取漏洞 - CVE: CVE-2026-48921 - 严重程度: 高 - 受影响插件: Pipeline: Groovy Libraries Plugin - 描述: Pipeline: Groovy Libraries 插件 797.v90ea_a_9b_e45a_0 及更早版本不禁止共享库中的符号链接。 5. Credentials Binding 插件中的路径遍历漏洞 - CVE: CVE-2026-48922 - 严重程度: 高 - 受影响插件: Credentials Binding Plugin - 描述: Credentials Binding 插件 720.v3f6decef43ea_ 及更早版本未正确清理文件和 zip 文件凭证的文件名。 6. AppSpider 插件中缺少权限检查导致发送请求 - CVE: CVE-2026-48923 - 严重程度: 中等 - 受影响插件: jenkinsci-appspider-plugin - 描述: AppSpider 插件 1.0.17 及更早版本在实现表单验证的方法中未执行权限检查。 7. Bitbucket OAuth 插件中的开放重定向漏洞 - CVE: CVE-2026-48924 - 严重程度: 中等 - 受影响插件: bitbucket-oauth - 描述: Bitbucket OAuth 插件 0.17 及更早版本在登录后不限制重定向 URL。 8. GitHub Integration 插件中的 CSRF 漏洞 - CVE: CVE-2026-48925 - 严重程度: 中等 - 受影响插件: github-pullrequest - 描述: GitHub Integration 插件 0.7.3 及更早版本不要求 HTTP 端点的 POST 请求，导致跨站请求伪造（CSRF）漏洞。 9. Multijob 插件中的 CSRF 漏洞允许恢复构建 - CVE: CVE-2026-9674 - 严重程度: 中等 - 受影响插件: jenkins-multijob-plugin - 描述: Multijob 插件 662.vd2e0001fb_b_d 及更早版本不要求 HTTP 端点的 POST 请求，导致跨站请求伪造（CSRF）漏洞。 10. Job Import 插件中缺少权限检查导致枚举凭证 ID - CVE: CVE-2026-48926 - 严重程度: 中等 - 受影响插件: job-import-plugin - 描述: Job Import 插件 143.v044a_2e819b_27 及更早版本在 HTTP 端点中未执行权限检查。 11. buildgraph-view 插件中的存储型 XSS 漏洞 - CVE: CVE-2026-48927 - 严重程度: 高 - 受影响插件: buildgraph-view - 描述: buildgraph-view 插件 1.8 及更早版本未转义构建 URL，导致存储型跨站脚本（XSS）漏洞。 影响范围 Active Directory Plugin: 2.41 及更早版本 AppSpider Plugin: 1.0.17 及更早版本 Bitbucket OAuth Plugin: 0.17 及更早版本 buildgraph-view Plugin: 1.8 及更早版本 Credentials Binding Plugin: 720.v3f6decef43ea_ 及更早版本 Email Extension Plugin: 1933.v45cec755423f 及更早版本 GitHub Integration Plugin: 0.7.3 及更早版本 Job Import Plugin: 143.v044a_2e819b_27 及更早版本 LDAP Plugin: 807.v7d7de30930cf 及更早版本 Multijob Plugin: 662.vd2e0001fb_b_d 及更早版本 Pipeline: Groovy Libraries Plugin: 797.v90ea_a_9b_e45a_0 及更早版本 修复方案 Active Directory Plugin: 升级到 2.41.1 AppSpider Plugin: 升级到 1.0.18 Bitbucket OAuth Plugin: 升级到 0.18 Credentials Binding Plugin: 升级到 725.v52b_2328a_fde Email Extension Plugin: 升级到 1933.v45cec755423f GitHub Integration Plugin: 升级到 0.7.4 Job Import Plugin: 升级到 143.145.v48f9a_a_6ff384 LDAP Plugin: 升级到 807.809.vd3a_4e5e4ec98 Multijob Plugin: 升级到 669.v9d96a_9c71b_0 Pipeline: Groovy Libraries Plugin: 升级到 798.v5cc688825312 其他信息 Credit: Jenkins 项目感谢以下人员发现并报告了这些漏洞： - Arad Inbar, Erez Cohen, Nir Somech, Ben Grinberg, Daniel Lubel, Adiel Sol from DREAM for SECURITY-3654 - Mitchell Benjamin, Revamp Studio, and, independently, Qianheng Wang for SECURITY-3790 - Olawale Titloye, Samy Medjahed (Ap4sh) & Elliott Laurie (Ethiczz) and, independently, Samy Medjahed (Ap4sh) & Elliott Laurie (Ethiczz) and @surrealgreen on GitHub for SECURITY-3727 - Tommaso Gregori (p1s1o) for SECURITY-3671 - Yaroslav Afenkin for SECURITY-3486 - dylingman1 (https://github.com/dylingman1), redpoc Offensive Security Team) for SECURITY-3761, SECURITY-3776, SECURITY-3781, SECURITY-3783 Learn why we announce this: 了解更多关于为何发布此公告的信息。 Resources: 提供下载、博客、文档、插件、安全、贡献等资源链接。 Project: 提供结构和管理、问题跟踪器、路线图、GitHub、Jenkins 上的 Jenkins、统计信息等链接。 Community: 提供论坛、事件、邮件列表、聊天、特别兴趣小组、LinkedIn、Bluesky、Mastodon、YouTube、Reddit 等社区链接。 Other: 提供行为准则、新闻信息、商品、艺术品、奖项等其他链接。 Copyright: 2026 CD Foundation The Linux Foundation®. 保留所有权利。Linux Foundation 已注册并使用商标。有关商标列表，请参阅我们的商标使用页面。Linux 是 Linus Torvalds 的注册商标。隐私政策和条款使用。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Jenkins多插件安全公告：含RCE/反序列化/文件读取等漏洞

目标达成感谢每一位支持者 — 我们达成了 100% 目标！