Jenkins多插件安全公告：RCE/LFI/CSRF漏洞

Jenkins 安全公告 2026-05-27 漏洞概述 此公告宣布以下 Jenkins 交付物中的漏洞： Active Directory Plugin AppSpider Plugin Bitbucket OAuth Plugin buildgraph-view Plugin Credentials Binding Plugin Email Extension Plugin GitHub Integration Plugin Job Import Plugin LDAP Plugin Multijob Plugin Pipeline: Groovy Libraries Plugin 影响范围 RCE vulnerability from unvalidated LDAP referrals in LDAP Plugin - 受影响插件：ldap - 严重程度：Medium - 描述：LDAP Plugin 807.v7d7de30930cf 及更早版本遵循来自配置 LDAP 服务器的 LDAP 重定向。这些可以转发到导致 Jenkins 反序列化攻击者控制数据的 RMI URL，从而在 Jenkins 控制器上执行远程代码执行（RCE）。 RCE vulnerability from unvalidated LDAP referrals in Active Directory Plugin - 受影响插件：active-directory - 严重程度：Medium - 描述：Active Directory Plugin 2.41 及更早版本默认遵循来自配置 Active Directory 服务器的 LDAP 重定向。这些可以转发到导致 Jenkins 反序列化攻击者控制数据的 RMI URL，从而在 Jenkins 控制器上执行远程代码执行（RCE）。 Arbitrary file read vulnerability in Email Extension Plugin - 受影响插件：email-ext - 严重程度：High - 描述：Email Extension Plugin 1933.v45cec755423f 及更早版本包括一个允许内联图像作为 base64 在邮件内容中设置的 data-inline 属性。没有对可以内联的图像 URL 进行限制。 Arbitrary file read vulnerability through symbolic links in Pipeline: Groovy Libraries Plugin - 受影响插件：pipeline-groovy-lib - 严重程度：High - 描述：Pipeline: Groovy Libraries Plugin 797.v90ea_a_9b_e45a_0 及更早版本不禁止共享库中的符号链接。 Path traversal vulnerability in Credentials Binding Plugin - 受影响插件：credentials-binding - 严重程度：High - 描述：Credentials Binding Plugin 720.v3f6decef43ea_ 及更早版本未正确清理文件和 zip 文件凭据的文件名。 Missing permission check in AppSpider Plugin allows sending requests - 受影响插件：jenkinsci-appspider-plugin - 严重程度：Medium - 描述：AppSpider Plugin 1.0.17 及更早版本在实现表单验证的方法中未执行权限检查。 Open redirect vulnerability in Bitbucket OAuth Plugin - 受影响插件：bitbucket-oauth - 严重程度：Medium - 描述：Bitbucket OAuth Plugin 0.17 及更早版本在登录后不限制重定向 URL。 CSRF vulnerability in GitHub Integration Plugin - 受影响插件：github-pullrequest - 严重程度：Medium - 描述：GitHub Integration Plugin 0.7.3 及更早版本不要求 HTTP 端点的 POST 请求，导致跨站请求伪造（CSRF）漏洞。 CSRF vulnerability in Multijob Plugin allows resuming builds - 受影响插件：jenkins-multijob-plugin - 严重程度：Medium - 描述：Multijob Plugin 662.vd2e0001fb_b_d 及更早版本不要求 HTTP 端点的 POST 请求，导致跨站请求伪造（CSRF）漏洞。 Missing permission check in Job Import Plugin allows enumerating credentials IDs - 受影响插件：job-import-plugin - 严重程度：Medium - 描述：Job Import Plugin 143.v044a_2e819b_27 及更早版本未在 HTTP 端点中执行权限检查。 Stored XSS vulnerability in buildgraph-view Plugin - 受影响插件：buildgraph-view - 严重程度：High - 描述：buildgraph-view Plugin 1.8 及更早版本未转义构建 URL。 修复方案 Active Directory Plugin 应更新到版本 2.41.1 AppSpider Plugin 应更新到版本 1.0.18 Bitbucket OAuth Plugin 应更新到版本 0.18 Credentials Binding Plugin 应更新到版本 725.ve52b_2328a_fde Email Extension Plugin 应更新到版本 1933.v276319e3cc47 GitHub Integration Plugin 应更新到版本 0.7.4 Job Import Plugin 应更新到版本 143.145.v48f9a_a_6ff384 LDAP Plugin 应更新到版本 807.809.vd3a_4e5e4ec98 Multijob Plugin 应更新到版本 669.v9d96a_9c71b_0 Pipeline: Groovy Libraries Plugin 应更新到版本 798.v5cc688825312 这些版本包括上述漏洞的修复。所有先前版本均被认为受这些漏洞影响，除非另有说明。 信用 Jenkins 项目感谢发现并报告这些漏洞的举报人： Arad Inbar, Erez Cohen, Nir Somech, Ben Grinberg, Daniel Lubel, Adiel Sol from DREAM for SECURITY-3654 Mitchell Benjamin, Revamp Studio, and, independently, Qianheng Wang for SECURITY-3790 Olawale Titloye, Samy Medjahed (Ap4sh) & Elliott Laurie (Ethiczcz); and, independently, Samy Medjahed (Ap4sh) & Elliott Laurie (Ethiczcz); and @surrealgrain on GitHub for SECURITY-3727 Tommaso Gregori (p1s1o) for SECURITY-3671 Yaroslav Afenkin for SECURITY-3486 dylingman1 (https://github.com/dylingman1), redpoc Offensive Security Team) for SECURITY-3761, SECURITY-3776, SECURITY-3781, SECURITY-3783 其他信息 此漏洞已通过 Jenkins 漏洞赏金计划报告，由欧盟委员会赞助。 此问题是由于 SECURITY-3672 的不完整修复。 此问题是由于 SECURITY-2791 的不完整修复。 严重性 SECURITY-3486: High SECURITY-3654: Medium SECURITY-3659: Medium SECURITY-3671: Medium SECURITY-3705: High SECURITY-3727: High SECURITY-3761: Medium SECURITY-3776: Medium SECURITY-3781: Medium SECURITY-3783: Medium SECURITY-3790: High 受影响版本 Active Directory Plugin up to and including 2.41 AppSpider Plugin up to and including 1.0.17 Bitbucket OAuth Plugin up to and including 0.17 buildgraph-view Plugin up to and including 1.8 Credentials Binding Plugin up to and including 720.v3f6decef43ea_ Email Extension Plugin up to and including 1933.v45cec755423f GitHub Integration Plugin up to and including 0.7.3 Job Import Plugin up to and including 143.v044a_2e819b_27 LDAP Plugin up to and including 807.v7d7de30930cf Multijob Plugin up to and including 662.vd2e0001fb_b_d Pipeline: Groovy Libraries Plugin up to and including 797.v90ea_a_9b_e45a_0 修复 Active Directory Plugin should be updated to version 2.41.1 AppSpider Plugin should be updated to version 1.0.18 Bitbucket OAuth Plugin should be updated to version 0.18 Credentials Binding Plugin should be updated to version 725.ve52b_2328a_fde Email Extension Plugin should be updated to version 1933.v276319e3cc47 GitHub Integration Plugin should be updated to version 0.7.4 Job Import Plugin should be updated to version 143.145.v48f9a_a_6ff384 LDAP Plugin should be updated to version 807.809.vd3a_4e5e4ec98 Multijob Plugin should be updated to

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Jenkins多插件安全公告：RCE/LFI/CSRF漏洞

目标达成感谢每一位支持者 — 我们达成了 100% 目标！